Tuesday, 21 May 2019

Cara Melihat Kata sandi WiFi menggunakan Aplikasi Android

,
Ketika kuota internet kamu habis dan kebetulan di tempat kamu ada WiFi, tapi WiFi tersebut terkunci atau mempunyai password sehingga kita ga bisa mengakses WiFi tersebut. Tenang, ada beberapa cara yang wajib kalian coba untuk bisa mengakses WiFi tersebut secara cuma-cuma menggunakan aplikasi android yaitu Wps Wpa Tester (salah satu, masih banyak lagi)

Caranya cukup mudah, kamu hanya perlu download aplikasi tersebut di Google Play Store
Pertama masuk dulu ke Google Play Store, kemudian isi kolom pencarian lalu ketik Wps Wpa Tester dan Download


Cara Menggunakan Aplikasi Tersebut dengan Benar :

  1. Install dan buka Aplikasi nya
  2. Klik "Scan" untuk melihat jaringan WiFi yang tersedia untuk dibobol
  3. Lihat jika ada WiFi yang menggunakan WPS maka WiFi tersebut berwarna hijau (Bisa dibobol) jika tidak maka akan berwarna merah berarti menandakan WiFi tersebut tidak bisa dibobol
  4. Kemudian kamu akan melihat beberapa PIN guna untuk pembobolan, jika kamu ingin menggunakan semua PIN secara otomatis maka pilih Automatic PIN
  5. Tunggu proses hingga selesai, jika berhasil kamu akan melihat password WiFi yang kamu targetkan
  6. Selesai, gunakan dengan bijak.

Wednesday, 15 May 2019

Bypass Admin Login Untuk Mengakses Situs Sebagai Administrator

,
Sebelum kita mulai tutorial bypass Admin lebih baik mengetahui apa dan kenapa penyebab terjadinya bypass admin pada sebuah situs. Singkatnya situs dapat di bypass halaman admin login tersebut dikarenakan situs tersebut memiliki bug yang bernama SQL Injection. Bug ini pernah saya posting tetapi dengan dimana attacker menggunakan cara/konsep yang berbeda memanfaatkan bug tersebut. Untuk selebih nya silahkan baca penjelasan mengenai SQL Injection di bawah ini :


#Penjelasan SQL Injection#
Injeksi SQL atau SQL Injection memiliki makna dan arti yaitu sebuah teknik yang menyalahgunakan sebuah celah keamanan yang terjadi dalam lapisan basis data sebuah aplikasi. Celah ini terjadi ketika masukan pengguna tidak disaring secara benar dari karakter-karakter pelolos bentukan string yang diimbuhkan dalam pernyataan SQL atau masukan pengguna tidak bertipe kuat dan karenanya dijalankan tidak sesuai harapan. Ini sebenarnya adalah sebuah contoh dari sebuah kategori celah keamanan yang lebih umum yang dapat terjadi setiap kali sebuah bahasa pemrograman atau skrip diimbuhkan di dalam bahasa yang lain. (Wikipedia).
Nah, Bypass Admin itu sendiri merupakan salah satu contoh dari bug SQL Injection, Di mana attacker memanfaatkan celah tersebut dengan cara mengisi sebuah form login yang kita injeksi menggunakan cheat sheet maka halaman administrator sebuah website dapat kita akses

Jika sudah membaca penjelasan tentang SQL Injection maka langsung saja kita kepertanyaannya, bagaimana sih caranya bypass Admin Login tersebut? ini caranya.
  1. Internet + Browser (Chrome direkomendasikan)
  2. Google Dorking untuk mencari Website Halaman Admin Login
  3. Username dan Password (Cheat Sheet)
#Google Dork#
  • inurl:manager intitle:Admin Panel
  • inurl:/admin2/ ext:php inurk:/admin/ ext:php
  • inurl:/adminpanel/ ext:php
  • inurl:/admin_panel/
  • inurl:/login.php
  • inurl:/admin.php
  • inurl:/admin
  • inurl:/login.html
  • dan Kreasikam Lagi
Asumsikan jika kita sudah mendapatkan website untuk di bypass, misal http://target.com/
Jangan lupa untuk menuju halaman Admin Login tersebut, misal folder directory Admin Login situs tersebut adalah "admin" maka kita menuju url tersebut yaitu http://target.com/admin/
(Tidak semua nama folder directory Admin Login itu sama pada sebuah situs)
Contoh gambar 1

Pada form username dan password kita isi dengan:
Username : ' OR 1=1--
Password : ' OR 1=1--

Lalu Login/Enter
Contoh gambar 2

Jika berhasil maka anda akan menuju Dashboard Halaman Admin tersebut login sebagai Administrator.
Contoh gambar 3
Nah gambar yang di atas adalah merupakan hasil dari bypass Admin tersebut.

Sebenarnya ada banyak sekali Cheat Sheet untuk mengisi username dan password Admin Login, tidak hanya itu saja. Kadang ada beberapa situs yang tidak terinjeksi menggunakan ' OR 1=1-- atau sebaliknya

Jadi jika username/password tidak berhasil saya rekomendasikan untuk menggunakan yang lain, diantaranya yaitu:



  • ' or 1=1 limit 1 -- -+
  • admin' #
  • admin@email.com' or 1=1 limit 1 -- -+



  • Di atas ini adalah yang paling saya rekomendasikan karena sudah sering saya gunakan berulang kali, tapi jika ingin menggunakan yang lain bisa mencari di google.

    Akhirnya selesai juga Tutorial Bypass Halaman Admin Login yang saya buat, semoga bermanfaat untuk kalian semua. Harap agar menggunakan celah tersebut dengan bijak, semoga tidak disalahgunakan karena ini hanya untuk mengingatkan kita bersama-sama betapa pentingnya keamanan sebuah situs. Terima Kasih

    Catatan : Tidak semua Admin Login dapat diinjeksi/bypass, karena belum tentu situs tersebut memiliki bug SQL Injection.
     

    FurutaWashuu Blog Copyright © 2011 -- Template created by O Pregador -- Powered by Blogger Templates