Deface Dengan Bypass Admin Page (New Method)

Halo Selamat Siang Semua ^_^

Hari ini saya menulis artikel dengan judul Deface Dengan Bypass Admin Page (New Method)

ok dah, to the point aja ^_^

Saya ambil contoh dgn web ini.

http://semetondewata.com/baliunitedpusam/admdev

‘or’’=’

‘or true#

‘or true limit 1#

Gagal semua gan :v .. nah kira2 ada gk teknik bypass yg bisa langsung nembus admin nya? Jawabannya ada Dong :D .

Let’s go friends  :

Satu2nya jalan yang harus kita lakukan adalah langsung masuk ke admin panelnya. Tapi bagimana??

Pertama kita brute secara manual nama panelnya.

http://semetondewata.com/baliunitedpusam/admdev/index.php true

http://semetondewata.com/baliunitedpusam/admdev/menu.php not found

http://semetondewata.com/baliunitedpusam/admdev/dashboard.php not found

http://semetondewata.com/baliunitedpusam/admdev/admin.php balik ke login lagi

nah ketemu http://semetondewata.com/baliunitedpusam/admdev/admin.php adalah panel adminnya. langkah selanjutnya adalah kita harus mem-bypass panel itu.

pertama download & install addons mozzila misterius nya di SINI, kenapa saya namakan misterius dulu,

Mereka yg bisa teknik ini kudu visit blog ini dulu(edisi need traffic mhanx)  :’v , setelah itu  baru tahu apa itu hehehe..

Setelah terinstall,

Buka adons nya, klik add , 

Lalu tambahkan :

 ^http://semetondewata.com/baliunitedpusam/admdev/

Ket:: nama file admin.php tdk perlu, cukup nama folder saja.

Klik oke , kita coba buka lagi link http://semetondewata.com/baliunitedpusam/admdev/admin.php daaaann..

Dan admin panel pun terbuka.. hehehehehe.. terlihat page nya mau di redirect tapi telah di intercept duluan ma adons nya

Kita coba buka

http://semetondewata.com/baliunitedpusam/admdev/berita.php

http://semetondewata.com/baliunitedpusam/admdev/tambah_berita.php

done hehehe.. challenge solved

pertanyaannya!!! Dari mana saya mendapatkan file2 spt berita.php & tambah_berita.php ?????

jawabannya dari brute force file ?? jika terdapat response 302 itu artinya filenya ada, cuman krn kita gk ada akses administrator, maka dia akan redirect ke login dulu..

namun terkadang, beberapa developer menempatkan coding redirect pada response 404 (not found) & 302 , sehingga sulit untuk membedakan.. hehehe nasib lho dah klw ketemu yg beginian :v

http://semetondewata.com/baliunitedpusam/berita-detail.php?id=25

Nah .. selesai ternyata mudah kan :D ..

Next tutorial.. kita akan mengulas dari segi codingnya??

 Mengapa hal itu bisa terjadi,

Dimana sajakah yg paling rentan  dengan serangan ini.. bagaimana cara patch nya dst ..

Tunggu episode selanjutnya yeaah ..

bakal semangat aku nulis tutornya nanti.. terima kasih..

download addons