Hello Guys Welkam back to ma channel :V . hari ini w bakal ngasih tutorial cara dipes dengan method bypass admin . pasti dah tau smua kan yaa :v . method paling ez ini cocok banget untuk para newbie yang baru aja belajar deface website . oke langsung aja bahan-bahan yg diperlukan yaitu :
- Script Deface (cari gugel , atau buat sendiri )
- Shell Backdoor ( cari gugel banyak ).
- Internet ama Pc pastinya
- ketamvanan :v
- Dork :
inurl : admin/login.php
inurl : site.com/admin
inurl : admin/admin.php
* Kembangin sendiri dengan Otak Bokep Kalian ea :v
Oke langsung aja klean ngedork dulu atau pake live target di bawah ini udah w sediain :
Live Target : http://ossergroups.com/
target untuk defacing website |
oke setelah itu kita cari admin login nya . biasanya sih ada yg gampang ditemukan ada yg sulit juga . tergantung dari web nya masing2 . contoh http://site.com/admin , http://site.com/admin/login.php , http://site.com/adminarea , dan masih banyak lagi .
untuk target kita admin login berada pada : http://ossergroups.com/admin
form login target |
setelah kita menemukan admin login , langkah selanjutnya yaitu melewati login ini (istilah nya isi bypass admin ) . nah gimana caranya ? padahal kan kita gatau username ama pass admin nya ?
simple aja . tulis ini di form login nya :
username : '=''or'
password : '=''or'
VULN ? brarti anda akan masuk menuju dashboard . klo error ? brarti GA VULN ganti target :p
mengapa bisa demikian ? karena pada proses login admin tidak memfilter karakter yang dapat dimasukkan sehingga attacker dapat melakukan injecting kode sql yg dapat melewati login tersebut .
bypass admin ini termasuk bug yang sangat simpel namun fatal sekali jika tidak segera di patch karna semua orang bisa saja masuk hanya dengan memasukkan kode sql '=''or' lalu mengobrak - abrik web anda hingga menghapus database nya .
oke2 lanjut maap w jelasin kepanjangan :v . nah ini dia tampilan klo VULN brarti masuk ke dashboard admin nya .
jika VULN , maka redirect ke dashboard admin |
nah langkah selanjutnya trus ngapain ? ya up shell la gblg :V . klo ga bisa up shell ditamper pake burp ato tamper data terserah . klo masih gabisa ya di jso . klo gabisa lagi yodah kasih ke w aja web nya biar w yang eksekusi :v .
oke cari form upload biasanya di gambar ( beruntung klo upload nya ga di filter :v) . cari di berita , edit artikel , tambah galeri . poko cari sendiri ea :v . klo dah nemu coba up shell disitu kali aja bisa :v
nah klo udah ? ya tinggal diakses . caranya ? klik kanan di gambar yg blank ( rusak ) itu . ntar langsung kebuka dah shell lo . klo misal ISE atau sebagainya coba untuk menggunakan minishell.
uploading shell |
akses shell yg udah lo upload tadi |
nah kalo ada tinggal di deface aja terserah mau di up sc doang ,atau ganti index . jangan lupa dibackup ya ^^ .
defacing websites |
jangan lupa subs channel w juga : Touch Me Senpai ^_^
oke sekian dari gua . Have a nice day ! Wassalamualaikum wr.wb
~./Exorcism