Write up: Bypass Admin pada subdomain LokerProgrammer

Monday. December 06, 2021 - 1 min

Intro

Bypass Admin merupakan teknik hacking yang dilakukan dengan cara menginputkan perintah sql dimana system akan mengeksekusi menjadi query dari user:pass administrator untuk masuk ke halaman admin panel. Jadi tanpa mengetahui username dan passwordnya kita tetap akan bisa login menggunakan teknik tersebut.

Saya tidak sengaja menemukan url web Loker Programmer yang dibagikan di story whatsapp oleh teman saya yang sedang internship di Loker Progammer. Lalu saya iseng untuk mengunjungi web tersebut untuk melihat program apa yang sedang di jalankan oleh teman saya tersebut.

Proof of concept:

Url: https://event.lokerprogrammer.com/

Pada url tersebut berisi login dan sign-up form, saya jadi iseng untuk mencoba untuk bypass login form tersebut dengan berbagai payload. Awalnya saya coba iseng memasukkan email '=''or' dan password admin namun tidak berhasil, saya lupa jika form tersebut merupakan email, bukan username hehe. Jadi saya mengubahnya menjadi seperti berikut:

Email: ‘=’‘or’@gmail.com
Password: admin

dan saya berhasil masuk sebagai admin pada website tersebut.

Impact

• Attacker dapat membuat/menghapus event pada website loker Programmer
• Attacker dapat melihat bukti transfer pelanggan loker Progammer

Timeline:

• [20:36, 12/3/2021] Reported.
• [20:52, 12/3/2021] Loker Programmer confirm the report.
• [21:14, 12/3/2021] Bug Fixed.