Penetration Testing Website pertanian.go.id

Assalamualaikum , Kali ini saya akan membagikan cara meretas website Kementrian Pertanian . Lansung saja ke TKP :

Vulnerable type: Upload File & Bypass Admin SQL Injection

Step satu , kita cari kelemahan pada http://pertanian.go.id/ , ternyata saya tidak menemukan kelemahan pada website tersebut .

Step ke dua , saya coba cari kelemahan nya dengan Google Dork .
Saya menemukan dir yang ada cara untuk Melapor  .

Pada foto diatas , ada tata cara melapor . saya mengikuti tutorial tersebut .
Register terlebih dahulu .

Kemudian saya ke form login , memasukan user dan password yang tadi saya pakai untuk register

Dikarenakan saya tidak mengetahui kemana file yang tadi saya upload , saya mencoba mencari admin panel pada dir tersebut dengan Havij .


saya berhasil menemukan admin panel website tersebut .
sekarang saya mencoba memasukan user dan password yang tadi saya register . dan ternyata tidak bisa .

sekarang saya mencoba melakukan metode yang sebelumnya saya gunakan pada website Pertambangan Myanmar

Yaitu metode DVWA brute force authentication Attack dengan Burp Suite

dan ternyata berhasil masuk :D

kemudian saya klik Download , dan ternyata bukan mendownload , melainkan menampilkan shell kita .

Sekian tutorial dari kami Zer0Security Crew . apabila ada yang dipertanyakan silahkan komentar atau bisa kirim pesan ke xGame1945@gmail.com