Hacker Menemukan Bug Saat UASBNBK Namun Mendapatkan Teguran
Sunday, March 24, 2019
Add Comment
Hacker Peretas Menemukan Bug Saat UASBNBK Namun Mendapatkan Teguran - Saya mendapatkan informasi mengenai teguran setelah menemukan bug celah di sebuah website melalui sosial media facebook. disini saya akan menceritakan ketika saya uasbnbk (Ujian Akhir Sekolah Berstandar Nasional Berbasis Komputer), ketika itu hari ke dua uasbnbk, saya melihat cms nya menggunakan beesmart v3 rev3 yang di hubungkan dengan exambrowser.
Setelah saya mengetahui cmsnya saya pun melakukan beberapa riset pada beesmart sampai saya ketika waktu istirahat sebelum menuju ujuan mata pelajaran ke 2, 30menit saya cari bug dan menemukan beberapa Bug pada cms ini bugnya yaitu “Admin Weak Password (error human)” dan “File Upload With CSRF” Dan pas masuk pelajaran ke 2 sayapun mencoba untuk memasuki server (admin Panel), setelah ujian berakhir saya keluar dari exambrowser dengan CTRL+ALT+f4 / CTRL+ESC+f4 dan berhasil keluar.
Saya langsung mencari IP localhostnya yaitu “192.168.0.204” saya buka melalui google chrome setelah berhasil muncul tampilan xampp homenya saya mencari dimana path ujiannya, karena saya bingun saya masuk lagi ke halaman ujian exambrowser dan saya lihat ada gambar (logo), saya pun drag untuk mengetahui pathnya dan dapatlah admin loginnya 192.168.0.204/SERVER04/panel/pages/login.php
Setelah itu saya pun login dengan default “admin:admin” dan berhasil masuk ke SERVER04 admin panel, dan mencuri beberapa soal+kunci jawaban untuk uasbnbk dan saya bagikan ke beberapa teman yang saya percayai
Namun seperti pepatah “sepandai-pandai tunpai melompat akan jatuh” dan 2hari sebelum ujian berakhir saya ketahuan karena ada kebocoran dan nilai yang ganjal pada saya dan teman yang di atas 85–97, akhirnya kami berlima di panggil untuk ke proktor dan staf-IT sekolah, kami mendapatkan teguran dan bimbingan.
Kami pun menerima kesalahan dan menanggung resiko dengan mengikuti ujian ulang secara tertulis dan soal yang berbeda. Dan khusus bagi saya mendapatkan ujian tambahan yakni untuk mencari bug pada cms beesmart oleh guru Staf-IT.
Sepulang ujian ulang saya langsung meriset cms beesmart dan melihat beberapa file, dan saya menemukan bug di bagian file upload ada 5 kurang lebih dan bisa multi tab meski sedang ujian berlangsung kita dapat membuka aplikasi lain dengan tombol CTRL+ESC maka tombol windows dan lainnya jalan dan kita leluasa untuk membuka aplikasi lain.
setelah itu saya melakukan recorder pada bugnya untuk di setorkan kepada staf-IT sekolah, berikut step by stepnya File Upload With CSRF.
Dari file di atas kita bisa mengupload file tanpa perlu login admin, karena tidak ada proteksi, dan sekarang kita lakukan exploitnya.
dan kita upload shell/backdoornya melalui csrf ini. Dan jika ada “succes” maka exploit sukses di lakukan dan file sudah terupload.
Itulah bug File Upload With Csrf, jika kita berada di komputer yang menjadi server kita bisa menggunakan csrf php ini, berbeda jika kita berada di client kita tetap bisa dengan menggunakan csrf html nya.
demi kebaikan kalian Mohon agar tidak meniru adegan saya terimakasih. Sumber medium
Jangan lupa follow gengindo.me
0 Response to "Hacker Menemukan Bug Saat UASBNBK Namun Mendapatkan Teguran"
Post a Comment