How I Found Information Disclosure Just Using Google

Halo semuanya, welcome to my second write-up. Jadi pada write-up ini saya akan membagikan pengalaman bug hunting pada salah satu web milik pemerintah. Katakanlah redacted.com

Pada hunting kali ini saya hanya menggunakan browser (ex, firefox) dan beberapa keyword dorking. Seperti biasa saya awali dengan keyword basic seperti:

site:go.id index of /backup
site:go.id index of /.git
site:go.id index of /robots.txt

Setelah ketiga keyword tersebut gagal, lalu saya coba menggunakan keyword:

site:go.id index of /robots.txt/backup inurl:blablabla

Lalu keluarlah hasilnya seperti ini.

Dan saya langsung membuka halaman web tersebut dan muncul beberapa direktori-direktori lain.

Other directories

Setelah saya membuka direktori satu persatu, sampailah pada direktori yang terakhir yaitu:

test.php

Dan ketika saya buka, BOOOM

Halaman itu menampilkan halaman phpinfo() yang mengandung informasi yang tidak seharusnya bisa diakses oleh publik,

Lalu pada saat saya menambahkan direktori test.php pada bagian akhir URL redacted.com, hasilnya malah gagal.

Dan ketika saya menambahkan full path direktori tadi, hasilnya malah 200 OK.

Yaps itu saja keanehan pengalaman saya dalam bug hunting, dan merupakan sesuatu yang baru bagi saya. Terima kasih.