Bypass Admin Di Form Email

Hallo, 

Kembali lagi di Evil Twin - Blog, Oke pada artikel kali ini Saya ingin memberikan Tutorial Deface POC Bypass Admin Di Form Email. Ini untuk form login yang menggunakan type email ya, Bukan Username.

Untuk pemain lama pasti sudah tau caranya, boleh langsung di skip tutorialnya dan untuk pemain baru yang ingin tau bisa lanjut baca artikelnya.

Langsung aja menuju ke tutorialnya.

Mencari Target

Seperti pada tutorial deface sebelumnya, Pasti selalu mencari targetnya terlebih dahulu. Begitu pula dengan deface metode ini. Kalian harus terlebih dahulu mencari targetnya.

Untuk mencari targetnya Kalian bisa menggunakan google dork dibawah ini:

inurl:/admin/login.php intext:"Email"
inurl:/administrator/index.php intext:"Email"
inurl:/adminlogin.php intext:"Email"

Note : Kembangin lagi dorknya biar dapet yang fresh, hehe.

Bypass Admin Di Form Email

Sebelum bypass ada baiknya kita mencoba terlebih dahulu menggunakan query seperti biasa yaitu ( '=''or )

Yapss, tidak bisa tersubmit dan muncul notice (Please include an '@' in the email address. '=''or' is missing on  '@') yang artinya disuruh nambahin (@) wkwk.

Artinya query tersebut tidak akan bisa masuk tanpa menambahkan (@). Maka kita langsung tambahkan saja seperti ini:

Lalu Tap Login dan lihat hasilnya, Kalo berhasil maka akan masuk ke dashboard Admin seperti ini:

Setelah itu tinggal cari aja deh form untuk mengupload Shell backdoor Kalian, Kalo target Saya sih ada di Slider.

Jika tidak ada notice "Filetype must jpg, invalid filetype, denied extension etc" Maka artinya Shell berhasil terupload dengan mulus (Kalo ada, coba tamper data) siapa tau bisa.

Yapss, Shell berhasil di akses. Sekarang bebas deh mau ngapain aja (Upload, edit, rename, delete etc)

Akhir Kata

Oke mungkin cukup sampai disini aja artikel kali ini tentang "Exploit POC Bypass Admin Di Form Email".

Mohon maaf bila ada kesalahan kata dan Sebagainya, Mohon dimaklumi.

Semoga bermanfaat dan Sampai jumpa di artikel selanjutnya!