Halo semuanya, welcome to my second write-up. Jadi pada write-up ini saya akan membagikan pengalaman bug hunting pada salah satu web milik pemerintah. Katakanlah,
redacted.comPada hunting kali ini saya hanya menggunakan browser (ex, firefox) dan beberapa keyword dorking. Seperti biasa saya awali dengan keyword basic seperti:
site:go.id index of /backup
site:go.id index of /.gitsite:go.id index of /robots.txtSetelah ketiga keyword tersebut gagal, lalu saya coba menggunakan keyword:
site:go.id index of /robots.txt/backup inurl:blablablaLalu keluarlah hasilnya seperti ini.
Dan saya langsung membuka halaman web tersebut dan muncul beberapa direktori-direktori lain.
Setelah saya membuka direktori satu persatu, sampailah pada direktori yang terakhir yaitu:
test.phpDan ketika saya buka, BOOOM
Halaman itu menampilkan halaman phpinfo() yang mengandung informasi yang tidak seharusnya bisa diakses oleh publik,
Lalu pada saat saya menambahkan direktori test.php pada bagian akhir URL redacted.com, hasilnya malah gagal.
Dan ketika saya menambahkan full path direktori tadi, hasilnya malah 200 OK.
Yaps itu saja keanehan pengalaman saya dalam bug hunting, dan merupakan sesuatu yang baru bagi saya. Terima kasih.
Connect with me:
