Hallo ker, kali ini gue mau ngasih tutorial Deface POC "Bypass SQL Login with Tamper Data" di Android.
~ Dork : inurl:/admin/login.php site:
intitle:Admin - Login ext:php
inurl:/backend/login.php
inurl:/panel/login.php (kembangin biar dapet yg fresh)
~ Lightning Browser
~ SandroProxy
Username : ' or 1=1 limit 1 -- -+ atau '="or'
Password : ' or 1=1 limit 1 -- -+ atau '="or'
Oke pertama kalian ngedork dulu di Lightning Browser dan cari web yg menurut kalian itu Vuln , terus masukan Username dan Password yg di atas.
Kalo Vuln bakal masuk ke Dashboard Admin. Next cari tempat Upload yg ada disitu. Berhubung disini cuma ada Form buat Upload foto berarti harus Bypass Extensi/Tamper Data (kalau hoki bisa langsung upshell).
Jangan lupa rename shell kalian dari shell.php >shell.jpg/png
Sekarang masuk ke bagian Upload file + Tamper data. Kalian buka Sandro Proxy dan centang bagian Developers mode,capture data dan tekan Done.
Untuk settingan Lightning Browser kalian ke setting > General setting > di HTTP Proxy kalian ganti ke Manual lalu untuk Host kalian isi localhost dan port 8008.
Setelah itu silahkan cari tempat Upload dan upload file kalian yg sudah di ubah extensi nya ke .php , .php.png atau yg lain dan save/submit.
Setelah ter upload kalian ke Sandro Proxy lalu ikuti seperti ini
Pilih POST dan tekan tombol tambah seperti di atas , atau bisa juga tekan dan tahan POST kemudian pilih Manual Requests maka akan masuk seperti ini
Setelah masuk disini , kaliam scroll ke bawah cari nama file kalian kemudian ubah dari yg awalnya shell.php.png > shell.php , kemudian pilih save/tombol play di atas .
Setelah itu kalian kembali ke Lightning Browser dan cari file kalian yg tadi di upload . Biasanya file yg di upload akan berbentuk gambar rusak, Kalian tekan tahan dan buka di tab baru.
Jika pas di buka masih blank , cek url kalo shell nya masih dalam extensi shell.php.png , tinggal hapus png nya dan akses . Disini gw akses nya di Chrome
Dan boom!! Kalian sudah berhasil masuk ke Shell Backdoor tsb . Disini terserah mau di apain web nya ( kalo mau tebas index jangan lupa backup dulu datanya ya ker ) kasian Developer nya:v
Oke mungkin segini dulu tutor dari gw , thanks!
-------
Greetz : 1337Syndicate | All Indonesian Defacer
./OutSiDers
Tags:
Deface