Tips Cara Mudah Mencari Admin Login Secara Manual
Jadi keinget dulu, ketika sedang melakukan exploitasi pada suatu website dengan poc sql iniection manual, pernah juga mengalami beberapa kesulitan salah satu contohnya dalam hal mencari sebuah halaman admin login diwebsite tersebut.
Cara ini juga terbilang simpel, karena fungsi google dork ini ialah untuk memfilter hasil pencarian website hanya dengan domain, caranya mudah tingal memasukan kata atau keyword yang masih berhubungan dengan admin login, contoh penggunaan:
Terkadang kebanyakan suatu website menyembunyikan admin loginya pada file robots.txt tetapi ada juga file/directory yang boleh dicari oleh user atau mesin pencari. Terus bagamaina caranya, gampang kok, kalian tambhkan aja setelah url, contoh seperti ini:
Untuk cara seperti ini agak tergolong sedikit sulit ya, dikarenakan teknik ini melibatkan insting dan cara kita berpikir dalam menjelajah suatu sistem web. Contoh penggunaanya tinggal menambahkan kata admin.php setelah url bisa juga dikombinasikan dengan underscore dan lain sebagainya, pokonya cari yang sekiranya itu masih berhubungan dengan admin login web. Contoh:
Jika dilaptop tekan CTRL+U kalau diandroid bisa kalian gunakan Browser Chrome bawaan dengan cara seperti ini
Mungkin banyak yang belum tahu teknik ini, padahal ini juga terkadang work lho. Gimana penasaran cara penggunaanya, seperti ini contohnya:
Disini kita bisa memanfaatkan kecerobohan admin yang masih suka upload gambar didirectory admin, caranya gampang tinggal dilihat url imagenya aja. Kalo pake android ya tinggal ditahan gambarnya terus lihat gambar ditab baru gitu nanti biasanya kan kadang ada nama admin setelah url, dicoba aja.
Untuk cara menggunakanya cukup simpel, contoh command linenya seperti ini,
Skalian enter, tunggu sampai programnya selesai. Nanti kalo ketemu warna outpunya hijau, sebaliknya kalo tidak nemu warna outpunya merah. Lebih jelasnya lihat gambar dibawh ini ya.
Kalau dalam teknik sql injection itu sendiri, menurut saya pribadi yang terpenting adalah pokoknya harus menemukan admin login terlebih dahulu. Nah baru kemudian tinggal memikirkan pada bagian ngedump username dan password aja, kalo gak nemu? ya coba dengan cara bypass admin, bruteforce, sqli into outfile, atau mungkin yang lainya sebenernya ada banyak cara sih.
Nah jadi, maka dari itu semua terkadang admin menyembunyikan tempat halaman admin loginya sangat aman. Jadi kadang bisa nemu kadang juga tidak bisa nemu, yasudah gakpapa jadikan pengalaman aja hehe.
Mungkin dari teman-teman semua, pernah juga mengalami hal seperti ini kan, kesulitan dalam mencari admin login. Sudah mencoba cari cara menemukan admin login dengan menggunakan tools admin login finder tapi hasilnya juga tidak ketemu? Gakpapalah, kebetulan diartikel kali ini saya ingin berbagi pengalaman cara mencari halaman admin login dengan secara manual disuatu website. Siapatau ngebantu juga, yaudah mari simak aja.
Oke, Berikut tips cara menemukan Admin Login suatu website.
Ketahui dulu CMS apa yang digunakan pada website tersebut
Mengetahui CMS apa yang dipakai website tersebut memang sangatlah penting. Karena apa, karena dengan melakukan hal ini nantinya akan memudahkan untuk cepat menemukan suatu admin login, perlu diketahui juga terkadan setiap CMS itu halaman loginya juga berbeda-beda, supaya mengerti saya aka kasih contoh.
- WordPress - wp-login.php
- Joomla - administrator
- Popoji - po-admin
- Magento - admin
- Lokomedia - adminweb, redaktur, redaksi
Sebenernya masih banyak lagi, tapi itu hanya sebagai contoh dan saran dari saya, agar kedepanya sebelum mencari admin login bisa mengetahui cms apa yang digunakan diwebsite tersebut, biar prosses menemukanya gampang.
Selanjutnya, Menggunakan Google Dork
 |
| menggunakan google dork |
Cara ini juga terbilang simpel, karena fungsi google dork ini ialah untuk memfilter hasil pencarian website hanya dengan domain, caranya mudah tingal memasukan kata atau keyword yang masih berhubungan dengan admin login, contoh penggunaan:
Oh iya, sebelum menggunakan dengan teknik seperti ini alangkah baikanya kalian ketahaui dulu fungsinya seperti fungsi intext, inurl, site, dan lain sebagainya.
Selanjutnya kalian bisa mengembangkan dorknya dengan kreatifitas masing-masing ya, agar supaya lebih akurat.
Selanjutnya kalian bisa mengembangkan dorknya dengan kreatifitas masing-masing ya, agar supaya lebih akurat.
Memanfaatkan robots.txt
 |
| cek robots.txt file |
Terkadang kebanyakan suatu website menyembunyikan admin loginya pada file robots.txt tetapi ada juga file/directory yang boleh dicari oleh user atau mesin pencari. Terus bagamaina caranya, gampang kok, kalian tambhkan aja setelah url, contoh seperti ini:
Jika memang benar ada sebuah file robots.txt diwebsite tersebut, maka nanti akan keluar tulisan semacam file/path/directory yang tidak bisa ditemukan oleh user dan mesin pencarian.
Menebak Halaman Admin Login
 |
| menebak admin login |
Untuk cara seperti ini agak tergolong sedikit sulit ya, dikarenakan teknik ini melibatkan insting dan cara kita berpikir dalam menjelajah suatu sistem web. Contoh penggunaanya tinggal menambahkan kata admin.php setelah url bisa juga dikombinasikan dengan underscore dan lain sebagainya, pokonya cari yang sekiranya itu masih berhubungan dengan admin login web. Contoh:
namaweb(admin)
(tahun)admin
namaweb(backend)
(tahun)admin
namaweb(backend)
Kembangkan dan kreasikan sesuai insting kalian.
Dengan View Source
 |
| view-source:target.com kadang work |
Jika dilaptop tekan CTRL+U kalau diandroid bisa kalian gunakan Browser Chrome bawaan dengan cara seperti ini
view-source:target.com/
Nanti akan muncul sebuah kode-kode gitu, nah tingal cari nama admin, adminlogin, dan lain sebagainya, harus teliti dalam mencari admin loginnya.
Cek Subdomain
 |
| cek subdomain |
Mungkin banyak yang belum tahu teknik ini, padahal ini juga terkadang work lho. Gimana penasaran cara penggunaanya, seperti ini contohnya:
Itu juga tergantung insting dan kreatifitas dalam menggembangkan memang agak ribet, tapi apa salahnya untuk dicoba.
Melihat Url Image
 |
| cek dengan url image |
Disini kita bisa memanfaatkan kecerobohan admin yang masih suka upload gambar didirectory admin, caranya gampang tinggal dilihat url imagenya aja. Kalo pake android ya tinggal ditahan gambarnya terus lihat gambar ditab baru gitu nanti biasanya kan kadang ada nama admin setelah url, dicoba aja.
Mungkin cukup segitu dulu aja tuturial cara mencari admin login secara manual, nanti kalo ada tambhan tips baru akan saya update kembali.
Jika dirasa masih kurang puas dengan teknik manual mungkin bisa menggunakan tool admin finder yang sudah bertebaran di google, atau kalian ingin menggunkan tools admin finder yang sebelumnya saya gunakan juga untuk mencari admin login diwebsite, monggo silahkan.
Berikut Cara Install Tools Admin Finder
Dikarenakan tools ini dibuat dari Python, jadi kalian harus install python yang versi 3 terlebih dahulu, selanjutnya kalian simak aja tutorialnya.
Download dulu script admin findernya, bisa manual atau menggunakan perintah git clone,
$ git clone https://github.com/0xrohadi/adminfinder
Untuk cara menggunakanya cukup simpel, contoh command linenya seperti ini,
$ python adminfinder.py -u site.com -w admin.txt -t 15
Atau bisa juga dengan command line seperti berikut ini,
Atau bisa juga dengan command line seperti berikut ini,
$ python adminfinder.py --url site.com --wordlist admin.txt --thread 25
Skalian enter, tunggu sampai programnya selesai. Nanti kalo ketemu warna outpunya hijau, sebaliknya kalo tidak nemu warna outpunya merah. Lebih jelasnya lihat gambar dibawh ini ya.
Sudah saya install admin finder ditermux dan tidak ada error sama sekali.
Perlu kalian ketahui, bahwa tools Admin Finder ini bekerja seperti dengan teknik bruteforce, kelemahan dari teknik bruteforce ini adalah hasil tergantung dari suatu wordlist. Kita juga gak bisa terus menerus untuk mengandalkan sebuah tools, kita terkadang dituntut untuk berkreatifitas dengan otak kita. Jadi tidak menjamin dengan menggunakan tools tersebut bisa menemukan suatu admin login, kadang sifatnya hoki-hokian gitulah.
Gak kerasa udah semakin larut malam, ngantuk juga iya. Mungkin cukup sekian dulu artikel tentang cara mecari admin login suatu website, jika ada pertanyaan silahkan tanyakan dikolom komentar, dengan senang hati saya akan coba membantu jawab.
Saya menulis ini bertujuan untuk edukasi, selebihnya tergantung kalian. Share jika kalian peduli dan suka artikel ini, Terimakasih semoga bermanfaat.
Post a Comment for "Tips Cara Mudah Mencari Admin Login Secara Manual"