Deface web with auto sql balitbang method

By -

Assalamualaikum wr.wb Kali ini mimin
akan mengshare cara mendeface di cms balitbang

BAHAN

  • 1. Shell Backdoor
  • 2. Google chrome / browser
  • 3. Hp / laptop
  • 4. Tools auto sql balitbang touch me senpai
  • 5. Tools Crack Password sql balitbang touch me senpai
  • 6. Dork / exploit:

DorK BalitBang


> inurl:/html/index.php site:sch.id 

> inurl:/html/siswa site:sch.id 

> inurl:/html/guru site:sch.id 

> inurl:/html/alumni site:sch.id

> inurl:member/daftar.php intext:NAMAKOTA

> inurl:/sch.id Team balitbang intext:NAMAKOTA

> intext:"Kamfret Team"sch.id Team Balitbang

> inurl:/member/daftar.php

> inurl:"/html/index.php" intext:"Tim Balitbang"

> inurl:"/html/index.php" intitle:"Selamat Datang"

> inurl:"/member/" intext:"Tim Balitbang"

> inurl:"/html/siswa.php?"

> inurl:"/html/alumni.php?"

> inurl:"/html/guru.php?"

> inurl:/member/daftar.php intext:"namakota"

> inurl:/member/ site:sch.id "selamat datang di komunitas"

> inurl:/elearning/ "password" site:sch.id

> inurl:/member/index.php "Tim Balitbang Kemdikbud versi"

> inurl:/user/index.php "Tim Balitbang Kemdikbud versi"

> inurl:/member/user site:sch.id

> inurl:agenda site:sch.id "tim balitbang"

> inurl:artikel site:sch.id "tim balitbang"

> inurl:info site:sch.id "tim balitbang"

> inurl:buku site:sch.id "tim balitbang"

> inurl:"bukutamu" site:sch.id "tim balitbang"

> inurl:"opini" site:sch.id "tim balitbang"

> inurl:"link" site:sch.id "tim balitbang"

> inurl:"galeri" site:sch.id "tim balitbang"

> inurl:"album" site:sch.id "tim balitbang"


Website engine's code is copyright © 2017 Tim Balitbang Kemdikbud versi

180707

Website engine's code is copyright © 2017 Tim Balitbang Kemdikbud versi

190116

Website engine's code is copyright © 2017 Tim Balitbang Kemdikbud versi

181128

Website engine's code is copyright © 2017 Tim Balitbang Kemdikbud versi

170317

Website engine's code is copyright © 2017 Tim Balitbang Kemdikbud versi

181016

Website engine's code is copyright © 2017 Tim Balitbang Kemdikbud versi

180313


member/listmemberall.php

users/listmemberall.php


Jika vuln website nya akan blank. Ya langsung saja


  • 1. Kalian ngedorking dulu di google/browser


Jika sudah kalian pilih salah satu website. Dan mimin sudah mendapatkan website nya jadi tinggal gasken



Dan jika sudah masukan exploit 
member/listmemberall.php

dan untuk admin login nya
/admin
/adminpanel
/login

Jika sudah masuk ke tools auto sql balitbang
dan tempelkan website yang kalian mau eksekusi tadi

Jika vuln akan mendapatkan user password nya




Kalian pilih salah satu, sesudah itu kalian masuk ke tools auto crack sql balitbang



Jika vuln maka akan ke hash password nya. Kita langsung saja masuk ke admin login


Kalian isi user / password yang kalian dapet tadi, kalo vuln akan redirect ke dashboard.


Dan ya, kalian bebas mau ngapain. Jika mau upload shell kalian klik setting admin > Posisi menu medul


Klik Tambah posisi menu




Dan disini kita bisa upload shell, dan untuk extensi nya .php
dan cara manggil shell nya, /modul/tag_namashell.php

Dan jika pas upload shell 403 forbidden itu artinya shell sudah terupload.


Dan itu shell yang sudah ke upload. Yang paling penting jangan di tebas index oke!

Mimin akhiri assalamualaikum wr.wb

Spesial Thanks To : Malaikat h4lu

Comments

Post a Comment

Popular posts from this blog

[BUG BOUNTY] Email Spoofing | No Valid SPF Record

By -
Image
Sekian lama tidak aktif ngeblog lagi, kali ini saya ingin sharing kembali mengenai salah satu celah yang saya temukan di salah satu website pembayaran elektronik lokal Indonesia. Vulnerability jenis apa yang saya temukan ? Awal mulanya saya melakukan footprinting dan melakukan information gathering dengan keinginan mendapatkan sebuah keberentungan, alhasil saya hanya menemukan sebuah file i.php yang menampilkan konfigurasi PHP yang dipakai pada web tersebut. Jika dilaporkan pun hanya akan dianggap sebagai "Information Disclosure". saya sempat berhenti sejenak sampai disini sampai ada teman saya yang memberikan sebuah link referensi mengenai email spoofing. Apa sih Email Spoofing itu ?  Email spoofing adalah pemalsuan pada bagian header email, sehingga email yang dikirim seolah-olah dikirimkan dari email yang valid. e-mail spoofing umumnya digunakan untuk aktivitas spamming, phishing atau fraud. Contoh email spoof biasanya dikirimkan dengan menyamarkan alamat email sebenarnya
Read more

Legion Tutorial - Information Gathering (Kali Linux)

By -
Image
Halo teman teman, kali ini saya akan membagikan tutorial tentang legion  Apa itu legion? Legion, sebuah cabang dari SECFORCE's Sparta, adalah kerangka kerja pengujian penetrasi jaringan open source, mudah digunakan, super-extensible dan semi-otomatis yang membantu dalam penemuan, pengintaian dan eksploitasi sistem informasi. Fitur : Pengintaian dan pemindaian otomatis dengan NMAP, whataweb, nikto, Vulners, Hydra, SMBenum, dirbuster, sslyzer, webslayer, dan lainnya (dengan hampir 100 skrip terjadwal otomatis) Antarmuka grafis yang mudah digunakan dengan menu dan panel konteks yang kaya yang memungkinkan pentester dengan cepat menemukan dan mengeksploitasi vektor serangan pada host Fungsionalitas modular memungkinkan pengguna untuk dengan mudah menyesuaikan Legiun dan secara otomatis memanggil skrip / alat mereka sendiri Pemindaian panggung yang sangat dapat disesuaikan untuk penghindaran IPS seperti ninja Deteksi otomatis CPE (Penghitungan Platform Umum) dan CVE (Kerentanan dan Eksp
Read more