Deface POC Bypass Admin ekart Tamper data with sandro proxy

Yoyoyoyo balik lagi sama gue ./MaXimous48 :v , kali ini gua bakal share tutorial deface poc Bypass admin ekart tamper data :D entahlah namanya apa :v banyak yang bilang default u/p tapi ada juga web yang bisa di bypass, makanya bingung namanya apa :v

Yowes gausah lama lama langsung aja siapin bahan bahan nya

- Dork : intext:"eCart Dashboard" site:in ( kreasiin sendiri ya :v )

- SandroProxy ( kalo belom punya, download di google banyak )

- Lightning Browser ( di playstore ada )

- shell backdoor ekstensi .jpg ( Gaada jpg? Ya ubah ekstensinya dari php ke jpg , kalo gak tinggal tambah dari shell.php jadi shell.php.jpg )

- exploit :

User password : ' or 1=1 limit 1 -- -+

admin / admin123

admin / admin1234

admin / 123456

Langsung aja kita mulai.

Pertama kalian buka web lightning browsernya dulu, pergi ke settings, klik General settings, klik HTTP proxy terus pilih yang manual, lalu isi port 8008 seperti di gambar

Kalo udah pergi ke sandro proxy nya, pilih yang Developers mode, capture data klik Done

Lalu klik gambar settings isi port nya sama kaya port di lightning browser yaitu 8008

Jika sudah sekarang kalian dorking :v , berhubung gua udah punya target jadi gaperlu cape cape dorking :v jika dapat targetnya kalian bakal langsung masuk ke halaman admin login seperti ini

Isi username sama password nya diantara salah 1 exploit tadi , jika salah satu nya ada yang bisa, kalian bakal diarahin ke dashboard admin seperti ini

Oh ya, sebelumnya jika kalian dorking di google chrome kalau sudah masuk ke dashboard admin seperti ini kalian pindahin aja ke lightning browser ya

Lalu kalian pergi ke tanda strip 3 di pojok kiri atas, lalu pilih Home Slider Images atau New Offers Images terserah lo akwkawkwk, kalo gua si di Home Slider Images

Lalu upload shell backdoor ekstensi jpg tadi jika berhasil bakal muncul gambar rusak dibagian bawah. Lalu kalian buka sandroproxy, klik HTTP lalu kalian cari tulisan POST seperti ini

Jika ketemu, kalian klik tulisan POST nya terus klik dan tahan soruce code dibawah POST tadi pilih manual request , bakal muncul tampilan seperti ini

Kalian cari nama shell kalian lalu ubah ekstensi nya menjadi php, selanjutnya klik gambar segitiga disamping tanda + diatas.

Jika sudah, kalian masuk lagi ke lighting browser dan refresh dashboard admin nya nanti bakal muncul jadi 2 gambar rusak seperti ini

Kalian klik gambar rusak yang paling atas lalu kalian klik Open link in new tab atau copy link terserah kalian

Dan BOOM!!!! Masuk akses shell nya :v terserah mau diapain :v kalo pengen tebas index nya, jangan lupa di backup ya maniezzz kasian admin web nya :)

Okeeee mungkin segitu aja tutorial dari gua semoga kalian paham and see you in the next article :v