Oke guys, kali ini gw bakal sharing materi tentang bagaimana cara deface Poc CBT Add admin.

Dork : intext:"Candy CBT v2.8.0 r3".

CSRF : here.

Langkah-langkah :

1. Kalian dorking dulu terlebih dahulu.
2. Kalo udah ketemu target, kalian langsung aja edit csrf nya di teks editor kalian, pastein target nya dibagian form action, lalu save sebagai file html.


3. Buka di browser lalu isi username sama password kalian yang mau kalian daftarkan.


4. setelah itu balik lagi ke site nya, cari halaman admin login "http://site.sch.id/admin/login.php", lalu masukkan username and password yang sudah kalian buat tadi,kalo vuln bakal ke-redirect ke halaman admin-nya.


5. Nah, disini kalian tinggal upload shell, pertama kalian ke "Pengaturan", lalu ke "Backup and Restore", upload shell nya dibagian "Restore data" seperti gambar dibawah ini.


6. Dan ini adalah hasilnya guys.


Oke sekian dulu dari gw Wassalam Wr.Wb.