Post

9/recent/ticker-posts

Menemukan bug/kerentanan dan cara memanfaatkan bug yang di temukan.

 


Kali ini saya akan membagikan cara mencari bug/kerentanan pada website dengan cara menargetkan website tersebut.
Jadi di sini saya sudah mempunyai live target jadi langsung aja ya..
Nah jadi ini live targetnya .. Btw web nya gua sensor yak, dapetin nya susah huhu..


Nah berhubung live target gua ada parameter jadi kita cek aja ya.. Menurut gua sih mungkin vuln sql, tapi cek aja dh :p


Nah vuln sql.. Skrg kita cari bug lainnya :p
Oke kita coba LFI, mungkin bisa karena ada parameter LFI :D


Oke path nya keluar, coba kita inject 


Path nya keluar, oke sekarang coba kita up shell menggunakan metode LFI manual menggunakan hackbar.. 

Caranya gimana? Kalian liat youtube atau kalian search aja di browser kalian.. 


Why? Not responded? 
Hmm.. Mungkin karena website nya gak di kasih response ke command internal nya, jdi tamper saya mungkin gak terkirim ke internal nya dan gak berjalan,statusnya jadi not responded.. Huhuuu

Oiya coba kita cek directory web, siapa tau ada hal yang menarik :D

Huhuhu directory web nya terbuka, dan ada file admin.. Hmm apakah itu..?  


Oke kita coba lihat ada apa di dalam folder yang bernama admin.. 


Horee.. Kita masuk halaman dashboard admin.
Jadi kali ini saya akan meng-upload sebuah shell backdoor . 

Jadi bisa kita simpulkan bahwa ini adalah bug idor dalam directory website yang terbuka :D

Dan di sini saya sudah berhasil meng-upload sebuah shell backdoor.. Oiya nama folder dalam shell sengaja saya sensor karena file tersebut berupa file sensitif. 


Jumlah bug yang di temukan :
1.SQL 
2.LFI ( NOT RESPONDED ) 
3.IDOR ( DALAM DIRECTORY WEBSITE ) 

Oke mungkin sampai sini saja.. Byee beb <3

Posting Komentar

0 Komentar