Hello, Kali ini saya bakal memberikan sebuah Tutorial Deface dengan memanfaatkan Pencarian pada Github. Cara ini biasa saya gunakan untuk mencari sebuah Credential seperti Password, Database dan lainnya, pada salah satu program Bug Bounty.
Bagaimana caranya untuk melakukan Deface atau Merubah Tampilan pada target kita? Seperti yang saya tuliskan di atas, Kita mencari sebuah Credential atau infomasi Sensitif pada target kita, atau bisa disebut juga Recon atau Information Gathering
Kita hanya menggunakan sebuah Dork untuk melakukan pencarian di Github, Beberapa dork di bawah sering saya gunakan
"*.target.go.id" "password"
"*.target.go.id" filename:wp-config.php
"*.target.go.id" filename:.env
"*.target.go.id" extension:sql "password"
Ok, disini saya coba target ke salah satu web pemerintah dengan menggunakan dork ke 4. Kalian pergi ke website Github dan login jika sudah punya akun Github, Kalo tidak punya silahkan Daftar dulu.Jika sudah Login kalian pergi ke halaman utama, Dan paste dork di kolom pencarian dork yang saya gunakan "*.target.go.id" extension:sql "password" Lalu kalian pilih Tab Code
Tinggal kalian mencari sebuah Password User atau Admin dari situs tersebut, Dan perlu di ketahui bahwa Semua Credential yang kalian temui tersebut tidak semuanya Valid. Kebetulan saya menemukan sebuah beberapa Username dan Password berbentuk MD5
Tinggal kalian cari sebuah Halaman dari target kalian masing masing, dan sesauikan dengan Credential yang kalian temukan. Jika yang kalian temukan untuk Login Admin maka cari halaman Login Admin target kalian.
Tinggal kalian masuk ke dalam Dashboard Admin, dan tinggal kalian Upload Shell deh.
Penutup
Banyak yang bilang susah karna ga nemu nemu beberapa kredential, Padahal gampang kalo lebih teliti lagi. Dan ga semua web yang kalian cari ada di Github mungkin ada di Gitlab wkwkwk
Ok, Terima kasih sudah mampir ke Blog saya. Happy Hacking!
Posting Komentar