Kali ini saya akan membagikan cara meretas website Kementrian Pertanian .
Lansung saja ke TKP :Vulnerable type: Upload File & Bypass Admin SQL InjectionStep satu , kita cari kelemahan pada http://pertanian.go.id/ , ternyata saya tidak menemukan kelemahan pada website tersebut .Step ke dua , saya coba cari kelemahan nya dengan Google Dork .Saya menemukan dir yang ada cara untuk Melapor
.
Pada foto diatas , ada tata cara melapor . saya mengikuti tutorial tersebut .Register terlebih dahulu .
Kemudian saya ke form login , memasukan user dan password yang tadi saya pakai untuk register
Dikarenakan saya tidak mengetahui kemana file yang tadi saya upload , saya mencoba mencari admin panel pada dir tersebut dengan Havij .
saya berhasil menemukan admin panel website tersebut .sekarang saya mencoba memasukan user dan password yang tadi saya register . dan ternyata tidak bisa .sekarang saya mencoba melakukan metode yang sebelumnya saya gunakan pada website Pertambangan MyanmarYaitu metode DVWA brute force authentication Attack dengan Burp Suite
dan ternyata berhasil masuk :D
kemudian saya klik Download , dan ternyata bukan mendownload , melainkan menampilkan shell kita .
HASIL DARI ADMIN #INDSTART45:
http://pertanian.go.id/wbs/admin/file/indstart45.html
source:http://z0security.blogspot.in/