Tutorial Deface Teknik Bypass Admin Login Terbaru
Thursday, August 31, 2017
Edit
Sore guys!
Kali ini saya akan share tutorial deface menggunakan teknik bypass admin. Teknik bypass admin ini sering digunakan oleh saya sih, selain karena gampang, cocok juga buat pemula. Bypass Admin adalah teknik dimana queri sql dipaksa dimasukan pada form login yang nantinya akan dibaca oleh komputer sebagai sebuah intruksi login (karena intruksinya memaksa, jadi tanpa user&pass pun komputer akan memprosesnya). Langsung saja!
Bahan :
1. Script/Shell
2. Mozilla 50.0 with Tamper Data Addon. Download [ Mozilla 50.0.exe via GoogleDrive ]
3. Dork :
- inurl:/backend/login.php intext:"login"
kembangkan sendiri dorknya, supaya dapet yang verawan :v
4. Exploit :
- '=''or'
exploit yang lainnya bisa dilihat disini
Tutorial :
1. Dorking target.
2. Masukan exploit pada form loginnya. jika exploitnya tidak berhasil, kalian bisa coba exploit yang lainnya DISINI. Note: tidak semua form login admin bisa di inject seperti ini. kalo gagal, mending cari target lain.
2. Setelah login, cari halaman upload atau halaman add news atau apapun yang penting ada form uploadnya.
3. Siapkan Shell/Script defacenya, tapi JANGAN dulu di upload. Untuk kali ini, saya memilih upload shell indoxploit. Note: karena target saya tidak mendukung upload php secara langsung, maka dari itu saya menggunakan Teknik Bypass Extension. sebelumnya juga extensi shell idx nya ditambah .jpg/.png dulu. Jika target kalian support upload php, lewat saja teknik ini, langsung upload saja dan skip ke STEP 8.
4. Buka Addon Tamper Data dan Klik "Start Tamper" lalu upload.
5. Nanti muncul popup seperti berikut, hilangkan centang "Continue Tampering" lalu klik "Tamper".
6. Akan muncul popup baru lagi, pada tab POST_DATA cari shell/script yang kalian upload.
7. Tinggal hapus saja extensi jpg/png nya. nanti hasilnya akan seperti berikut. Lalu klik OK.
8. Jika berhasil, maka akan nampak notif bahwa upload sukses.
9. Sekarang tinggal akses shell/script yang diupload. Caranya edit news/image/post yang kalian buat tadi, lalu cari THUMBNAIL gambarnya dan DRAG & DROP ke AddressBar. lihat gambar.
10. Maka hasilnya akan seperti ini.
11. Tinggal EKSEKUSI. Kali ini saya hanya nitip file saja, tidak nebas INDEX.
Selesai! Gampang kan? masih gagal? tanya di kolom komentar!
Oke sekian tutorial Deface Dengan Teknik Bypass Admin Login,
mohon maaf bila ada kesalahan.
Wassalamu'alaikum wr.wb
Kali ini saya akan share tutorial deface menggunakan teknik bypass admin. Teknik bypass admin ini sering digunakan oleh saya sih, selain karena gampang, cocok juga buat pemula. Bypass Admin adalah teknik dimana queri sql dipaksa dimasukan pada form login yang nantinya akan dibaca oleh komputer sebagai sebuah intruksi login (karena intruksinya memaksa, jadi tanpa user&pass pun komputer akan memprosesnya). Langsung saja!
Bahan :
1. Script/Shell
2. Mozilla 50.0 with Tamper Data Addon. Download [ Mozilla 50.0.exe via GoogleDrive ]
3. Dork :
- inurl:/backend/login.php intext:"login"
kembangkan sendiri dorknya, supaya dapet yang verawan :v
4. Exploit :
- '=''or'
exploit yang lainnya bisa dilihat disini
Tutorial :
1. Dorking target.
2. Masukan exploit pada form loginnya. jika exploitnya tidak berhasil, kalian bisa coba exploit yang lainnya DISINI. Note: tidak semua form login admin bisa di inject seperti ini. kalo gagal, mending cari target lain.
2. Setelah login, cari halaman upload atau halaman add news atau apapun yang penting ada form uploadnya.
3. Siapkan Shell/Script defacenya, tapi JANGAN dulu di upload. Untuk kali ini, saya memilih upload shell indoxploit. Note: karena target saya tidak mendukung upload php secara langsung, maka dari itu saya menggunakan Teknik Bypass Extension. sebelumnya juga extensi shell idx nya ditambah .jpg/.png dulu. Jika target kalian support upload php, lewat saja teknik ini, langsung upload saja dan skip ke STEP 8.
4. Buka Addon Tamper Data dan Klik "Start Tamper" lalu upload.
5. Nanti muncul popup seperti berikut, hilangkan centang "Continue Tampering" lalu klik "Tamper".
6. Akan muncul popup baru lagi, pada tab POST_DATA cari shell/script yang kalian upload.
7. Tinggal hapus saja extensi jpg/png nya. nanti hasilnya akan seperti berikut. Lalu klik OK.
8. Jika berhasil, maka akan nampak notif bahwa upload sukses.
9. Sekarang tinggal akses shell/script yang diupload. Caranya edit news/image/post yang kalian buat tadi, lalu cari THUMBNAIL gambarnya dan DRAG & DROP ke AddressBar. lihat gambar.
10. Maka hasilnya akan seperti ini.
11. Tinggal EKSEKUSI. Kali ini saya hanya nitip file saja, tidak nebas INDEX.
Selesai! Gampang kan? masih gagal? tanya di kolom komentar!
Oke sekian tutorial Deface Dengan Teknik Bypass Admin Login,
mohon maaf bila ada kesalahan.
Wassalamu'alaikum wr.wb