Halo, apa kabar?
Writeup kali ini bercerita tentang bagaimana saya akhirnya dapat masuk ke akun salah satu karyawan milik situs private.com tersebut hanya menggunakan Google Dork. Kasus ini saya temukan pada program private di Hackerone.
Tulisan kali ini tidak akan panjang tidak akan banyak pembahasan menarik seperti yang lain, jadi saya akan langsung menejelaskan ke pointnya saja.
Simak dibawah ini.
Google For Reconnaissance
Pada saat perburuan bug bounty kali ini, Google benar-benar sangat membantu saya dalam menemukan informasi sensitive mengenai target.
Dalam situasi seperti ini, saya mulai melakukan Reconnaissance terhadap target private.com tersebut dengan menggunakan Dorking.
Dork yang saya gunakan untuk mendapatkan informasi email dan password dari akun milik situs private.com kurang lebih seperti ini,
Dork: site:private.com inurl:login, site:private.com inurl:password
Dari hasil nge-dorking tadi disini saya dapat menemukan email dan password dari salah satu akun karyawan mereka.
Saya akan demokan seperti ini,
Email: karyawan+name@private.com
Password: xxxxxxxxxxxxxxxx
Kurang lebih seperti itu ya, maaf saya tidak boleh mempublikasikan secara detail jadi hanya sebatas abstrak saja.
Tested Login
Sekarang saya mencoba masuk menggunakan email dan password dari hasil pengintaian tadi. Hal ini untuk memastikan apakah email dan password itu apa valid atau tidak.
Dan setelah saya tekan "Login" boom saya berhasil masuk ke akun tersebut dan pada akun tersebut terdapat banyak file-file document penting seperti file rangkuman, hasil evaluasi meeting dan lain-lain ada banyak.
Untuk pengujian saya stop sampai disini saya pikir ini sudah cukup bukti untuk dilaporkan. Kemudian saya membuat laporan dan lalu saya kirimkan melalui Hackerone.
Timeline:
28 Nov - Send Report
29 Nov - Report Reviewed
2 Des - Triaged
19 - Bounty Rewarded
19 - Fixed
Benar-benar hari itu saya sangat merasa beruntung sekali, Alhamdullilah makasih banyak :)
Jadi writeup kali ini kurang lebih seperti ini sederhana kan? Sebenarnya artikel ini sudah saya simpan sejak lama tapi baru kali ini saya mau mempublikasihkan, mohon maaf apabila ada kekeliruan baik penulisan atau penyampain semoga suka.
Terimakasih have a good day ;)
Comments
Post a Comment