Skip to main content

Cara deface poc bypass admin (upload shell)


Cara deface poc bypass admin (upload shell) 

       Halo guys sorry lama tidak update,kali ini saya akan share tutorial Deface poc bypass admin yang jelas upload shell ya.

       deface poc ini bisa dibilang gampang-gampang susah ya guys:v. Mengapa demikian karena poc ini gampang saat mengeksekusinya tapi susah nyari web yang fresh(terkecuali kalian Pinter racik dork fresh).
      
 Ok langsung aja ya.
Bahan-bahannya:
1. Dork
2. Koneksi 
3. Shell Backdoor (Download disini password shell: Mr.TUKEN
Mini shell(Download disini)
4. Script deface 
5. Kopi 
6. Rokok 
7. Doa

Langkah-langkah:
1. Silahkan kalian dorking di mbah google terlebih dahulu menggunakan dork berikut:
Admin.php?id=
Admin/login.php
Login.php intitle:"admin login"
Login.php intitle:"admin area "
Login.php intitle:"administrator "
Administrator.php

Note: kalian juga bisa menargetkan site pada negara tertentu dengan menambahkan keyword berikut:
Site:uk
Site:id
Site:in
Dll.
Uk,id,in adalah kode domain sebuah negara.
2. Jika kalian sudah dorking silahkan kalian pilih salah satu web yang menurut kalian jomblo:v. Nah, disini saya sudah menyediakan live target ya yang vuln bypass admin.
http://jascalpro.com/admin/login.php
3. Nah,jika sudah kalian pilih maka akan langsung masuk kehalaman login admin.
Seperti gambar dibawah:


4. Nah sekarang kita akan mengeksekusi web tersebut agar kita masuk ke dasboard admin dengan cara membypass halaman loginnya dengan kode berikut.
'="or'
'or"='
Dll.
Silahkan pilih salah satu kode bypass di atas (Tiap web beda kode bypassnya jadi harus coba satu-satu).lalu masukkan kode bypass di atas pada form input username dan password.
5. Jika kalian berhasil Memasukkan kode bypass yang cocok dengan webnya maka akan masuk ke dasboard admin dari web tersebut seperti gambar berikut:

6. Nah,sekarang tinggal kita cari tempat upload dah di web tersebut seperti gambar dibawah ini :


7. Nah,jika shell berhasil ter upload sekarang kita panggil shell tadi.(jika kalian mengekse live target dari kami Mohon gunakan mini shell )
8. Jika sudah tinggal akses shell tadi
Lihat gambar berikut :


9. Nah sekarang tinggal kalian upload script kesayangan kalian dan terserah mau kalian tebas indexnya atau hanya nitip file.

Comments

Post a Comment

Popular posts from this blog

Tutorial deface POC Laravel phpUnit UPLOAD SHELL

Tutorial deface POC Laravel phpUnit UPLOAD SHELV Setelah sekian lama kami tidak update seputar deface kali ini kami akan berbagi tutorial tentang  Laravel phpUnit UPLOAD SHELL.        Teknik yang satu ini memanfaatkan sebuah bug dari Fitur yang di sediakan oleh pengguna laravel yaitu php unit dengan cara menggunakan remote code execution (RCE) Tutorial / Cara Upload Shell Metode Laravel phpUnit to RCE( Remote Code Execution ) dengan BurpSuite Pertama siapkan : - BurpSuite ( download di google banyak ) - Browser Dorking di google : - inurl:vendor/phpunit/phpunit/src/ - inurl:/src/Util/PHP/ intitle:index of - inurl:/Util/PHP/ "eval-stdin.php" * kembangin lagi biar dapet target lebih fresh Exploit : /eval-stdin.php site.co.li/vendor/phpunit/phpunit/src/Util/PHP/eval.stdin.php * kalau blank putih berarti vuln Oke langsung aja, disini gua udh dapet targetnya : http://www.olapcemetery.com//vendor/phpunit/phpunit/src/Util/PHP/eval-stdin...
Post a Comment
Read more

Celah KCFinder

KCFinder adalah salah satu plugin populer untuk web file management yang biasa diintegrasikan dengan editor tinymce, ckeditor dan masih banyak lagi yang biasa digunakan oleh para web master. Celah keamanan ini bahkan sampai di versi yang paling baru. Cek di   http://kcfinder.sunhater.com  untuk lihat. Sebenarnya ini bukanlah hal yang baru, tapi sebagian admin yang jarang update info banyak juga yang kena batunya. Saya sendiri masih mendapati beberapa instansi pemerintah, lembaga pendidikan, perusahaan dalam negeri yang berpotensi diserang dengan bug ini. Bagaimana cara dapatnya? Simpel saja, saya gunakan mata omm google yang tembus pandang untuk melihat target. Google dorknya inurl: index of/kcfinder/browse.php site:.co.id Di atas hanya contoh ya… setelah itu, kita tinggal upload file backdoornya. Sebagian server memproteksi dengan mereject file PHP. Jadi kita main kucing-kucingan saja. Itu file backdoor kita ganti ekstensinya dari .php ke .jpg atau .php3. Tapi yang ...
Post a Comment
Read more

Cara Belajar Bahasa Pemrograman PHP dan MySQL

Cara Belajar Bahasa Pemrograman PHP dan MySQL         halo sobat , Mr.TUKEN di sini  Bersyukur masih di beri kesempatan sama tuhan untuk berbagi materi dengan sobat Setia semuanya kali ini saya mau ngasih materi Cara Belajar Bahasa Pemrograman PHP dan MySQL        nah PHP merupakan salah satu bahasa pemrograman yang paling banyak digunakan dalam internet, yang mana memungkinkan Anda untuk melakukan banyak hal dan lebih mudah daripada HTML. MySQL memungkinkan Anda untuk membuat dan merubah database pada server Anda. Dengan menggunakan keduanya, Anda akan bisa membuat situs dan database yang jauh lebih kompleks dan juga lebih baik. Banyak yang harus Anda pelajari untuk mampu menguasai PHP dan MySQL dengan baik, namun Anda dapat mempelajari dasarnya dengan mudah pada artikel ini. Bagian 1 dari 5: Persiapan  1.Mengerti apa itu PHP dan MySQL. PHP merupakan bahasa pemrograman yang dapat Anda gunakan u...
Post a Comment
Read more