Deface PoC Bypass SQL Admin Login
Assalammualaikum wr.wb,kembali lagi dan selamat datang diblognya mimin.kali ini mimin akan membahas trick deface metode bypass SQL AdLog(Admin Login).sebelum lanjut ke prakteknya mimin akan memberikan pengertian SQL AdLog.sql adlog ialah sebuah form login admin untuk masuk dashboard administrator pada sebuah website.dimana kerentanan tersebut berada pada kesalahan codingan php mysql pada halaman admin.nah untuk pengertiannya kalian sudah tau kan.Langsung saja kita ke prakteknya.
Siapkan dulu bahan tempurnya,antara lain:
1.Kuota(Wajib no sunnah gan:v)
2.Dork Google
3.Bypass SQL Adlog.jika belom silahkan klik disini untuk mendownloadnya
4.shell bypass/shell.php
5.Kesabaran unlimited
Fresh Dork SQL AdLog:
[- inurl:/admin/login.php -]
[- inurl:/administrator/login.php -]
[- inurl:/login/admin.asp -]
NB:Dorknya bisa dikembangin lagi ya gan
step by step:
1.seperti biasa kalian dorking dulu ke google/browser kalian
2.jika sudah kalian pilih salah satu webnya/semua juga boleh:V
3.jika sudah,maka kalian akan dibawa ke halaman masuk admin/admin login.contoh seperti dibawah ini:
4.jika sudah kalian masukkan salah satu bypassnya.username dan password diisi sama
5.jika vuln maka kalian,akan masuk ke tempat dashboard adminnya.contoh jika vuln seperti gambar dibawah:
6.jika sudah kalian cari tempat uploadnya,biasanya ada di tempat product
7.jika sudah nemu tempat upload filenya,dan jika hoki/beruntung maka kalian bisa upload file ekstensi .php
8.jika sudah untuk cara manggilnya shellnya kalian ketik seperti ini
http://target.com/namashell
Atau
http://target.com/tempat uploadnya/nama shell
9.nah jika shell terpanggil kalian apakan.
Cukup sekian artikel tentang deface poc admin login.jika ada pertanyaan/kesalahan bisa bertanya/memberikan saran dikolom komentar.sekian dan terimakasih sampai jumpa di next artikel.
Wa'assalamualaikum wr.wb