Celah/Bug Di Situs Kementrian Perhubungan Republik Indonesia

sekitar awal November 2016 lalu, mimin mendapatkan bug/celah di situs kementrian Perhubungan Republik Indonesia setelah sekian lama gak debug juga...


  • Login PageTempat login adalah salah satu tempat Attacker untuk masuk ke tempat Administrator untuk menanam shell backdoor. Cara menembus halaman login ada banyak, misal nya Bypass Admin Login, SQL Injection pada halaman login (sqlmap/cake), Bruteforce Attacking, Fake Login, Fake Url, Jump Directory, dan masih banyak lagi.


  • File SQL Bocor


File SQL pertama terdapat pada subdomain ppsdma.bpsdm yang terletak di path /web/,
http://ppsdma.bpsdm.dephub.go.id/web/ppsdm.sql file ini menyimpan data sensitif seperti berikut :



 Yap, kita mendapatkan data penting :
username : admin
password : $P$Bm9SCaSWQa1/ajdCTlFfBtAGnDn4RB0



Dari nama tabel pada file SQL, dapat diketahui kalau CMS nya adalah Wordpress, dan untuk Crack/Decrypt password Wordpress bisa dengan Hashcat yang udah di post oleh Indonesian Cyber Army / IDCA



Oke sekian dulu debug hari ini, semoga membantu kawan2 dalam belajar hacking...


EmoticonEmoticon