Pengalaman menemukan laravel debug remote execute (RCE ) cve-2021-3129

disini saya menemukan link dimana saya dapat melakukan debug remote execute menurut saya sih ini agak critical karna walaupun saya mencoba email pihak kominfo nya ga ada respon maklum lah saya ini orang bodoh heheberikut adalah link nya yang saya sensore heheXSXSXSXS.kominfo.go.id/_igXASQiASQion/hSQXA-QWDckini gambar nyadari gambar ini saya coba coba bisa sih saya liat reference...

Read More

Pengalaman nyari bug di kominfo dimana saya menemukan bug XSS Storange

 Sebelumnya saya menemukan celah yang xss reflected nah kali ini saya menemukan celah yang xss storange menurut sayanamun ini ga ada respon apa apa sih setelah saya coba lakukan emailberikut adalah paramener nya?XXXX=XXXX:XXX('12345testingpoc')XSS picture 1XSS picture 2 menulis di storange nya     Gambar kedua ini saya berhasil menulis sesuatu...

Read More

Pengalaman menemukan XSS reflected di Kominfo

 Kali ini saya menemukan celah ya namanya XSS di website kominfo dimana menurut pihak kominfo ga terlalu bahaya sih dikarenakan refletctedberikut adalah parameter nya XXXX=%22XXXX%22%20XXXXX=XXXX(XXX)XXXdisini saya sensor ya hehe dan berikut adalah gambarnya bukti nyaDisini sih menurut pihak kominfo ga terlalu bahaya saya coba email ga ada respon mungkin karna celah...

Read More

Driver HTB

Sebelum nya disini saya membuat wirteup tentang Drive1. Sebelum masuk ke mesin kita lakukan konek vpn dulu seperti gambar berikut Konek VPN2. Setelah konek vpn kita lakukan scan port untuk tahap menggumpulkan asset list nyaScan PortDikarenakan disini ada 3 port yang di open yaitu port 80 http, port 135 RPC, dan port 44 SambaDisini saya mencoba explore port RPC3. Selanjutnya...

Read More

Pengalaman part 2 recon di kementrian keuangan

 Kali ini saya mencoba explore tetang web di salah satu kementrian keuangan yaitu web akses data ini salah satu gambar nyadari gambar disini ada beberapa hal yang saya dapatkan tapi ga saya lakukan exploit dan sudah saya coba laporkan sehingga sudah di tutup               disini saya menemukan...

Read More

Pengalaman Pentest di Kementrian Perdagangan dan Kementrian Keuangan

 1. pernah ketemu sql injetcion di database kementrian perdagangan ( atau kemendag ) tapi aku repot tidak dikasi apa apa boro boro terima kasih yah mungkin aku masih harus belajar lah ya oh ya ini gambar nya bukti nya yaini command sqlmap nya Sqlmap -u https://www.kemendag.go.id/id/events/%%%%%%/12/01/$$$$-$$$$$$ --technique=B --thread=1 --dbs --random-agent  ane...

Read More

Forge HTB

 1. Sebelum memulai kita melakukan pengenalan terhadap mesin yang akan di coba        tambahkan nama host ( domain ) dan ip mesin seperti gambar di bawah ini : Hostname2. selanjutnya kita konek vpn dulu sebelum memulai dikarenakan mesin yang akan di ujicoba hanya boleh di lakukan pada jaringan lokalKonek VPN3. Selanjutnya kita melakukan...

Read More