Yow whatsapp, 
Wellcome back with me. 
Kali ini kita akan membahas proof of concept yang msh baru xixixi....
Yaitu Sisfo (Sistem Formasi Akademik) Default User and Pass. Bug ini terjadi karna kelalain admin. Kenapa bisa begitu? Ya karna si admin lupa untuk mengganti pass defaultnya sehingga kita bisa login ke dashboard admin menggunakan User dan Pass default. 

Bahan bahan :
- Kouta 
- Dork :
"Sisfo Login"
"Sistem Informasi Akdemik"
"Login | Sisfo"
*Kembangin lagi gayn
- Info login :
User : admin
Pass : admin
Atau
User : admin
Pass : admin123

Langsung aja :D
Pertama kalian dorking dulu menggunakan dork diatas xixi.. 

Nah akan otomatis ke halaman admin login, lalu kalian login menggunakan info login yang saya sediakan diatas... 

Jika vuln akan masuk ke dashboard admin :D
Seperti gambar dibawah ini. 

Cara Upload shellnya kalian ke bagian profil guru >> Upload shell
Lalu kalian refresh >> klik kanan pada img yang retak atau klik lama pada android >> buka gambar di tab baru.. 
Jika 403 Forbidden kalian bisa coba dengan cara di bawah ini :
Thanks to : ali

Sekian dari saya,
Always Study