cara deface web dengan file upload

chmood


Baiklah kali ini saya akan memberikan sedikit tutorial mengenai cara deface web
dengan file upload memakai bantuan google .
seperti status saya di facebook yang menyinggung soal [google bak pisau bermata 2]
maka denga tutorial yang aka saya berikan step by step kali ni semoga status saya tersebut tidak salah :d, ok lsngsung saja kita praktek kan.

yang perlu anda siapkan hanya;
1. Komputer yang terkoneksi ke internet dan kopi
2. Target website yang memiliki kelamahan
3. File defacement / halaman deface.

Pertama kali mari kita buat file untuk deface anda bisa membuat dalam file .txt atau bahka image juga bisa , seperti yang pernah saya lakukan jauh jauh hari dengan mengupload fot0 teman teman di T.I Sniper

Sebagai contoh saya akan membuat file .txt yang akan saya beri kalimat berikut.

Setelah selesai membuat dan merangkai kata yang indah, simpanlah file tersebut di tempat yang anda kehendaki.


selanjut nya kita buka browser sesuai yang anda ingin kan , sebtulnya bisa saja meminta bantuan search engine yang lain , tpi di sini saya lebih suka dan cinta terhadap Google :D hahaha, oke silahkan buka Google .
kita akan menggunakan kelemahan web dengan keyword "/editor/filemanager/" ke Google, Cara memasukkanya dengan menggunakan fungsi INURL & SITE. INURL artinya pencarian dilakukan kepada setiap website yang di URL Addressnya mengandung kata "/editor/filemanager/". SITE artinya pencarian dilakukan kepada domain TLD tertentu, disini kita mencari domain yang akhirannya .COM. Sehingga keywordnya menjadi: inurl: /editor/filemanager/ site: com

dari hasil pencarian di google akan nampak seperti screenshot di bawah ini.




Dari hasil tersebut kita sudah mendapatkan informasi website target yaitu: http://www.madhouse1.com

Dengan informasi Situs Target URL lengkapnya:http://www.madhouse1.com/clients/dna/cms/HTMLEditor/

Oke, dari informasi kelemahan yang sebelumnya kita dapatkan, bahwa kelemahan terdapat di /editor/filemanager/connectors/uploadtest.html

http://www.madhouse1.com/clients/dna/cms/HTMLEditor/ <- Merupakan target dasar yang didapatkan dari google dan belum ditambahkan dengan url untuk file upload.




/editor/filemanager/connectors/uploadtest.html <- Sebagai tambahan di link yang memiliki kelemahan dan digunakan untuk file upload. Kita gabungkan & masukkan URL webtarget tersebut sehingga menjadi:http://www.madhouse1.com/clients/dna/cms/HTMLEditor/editor/filemanager/connectors/uploadtest.html

Untuk lebih jelas lihat gambar berikut:




Dari sana, kita pilih Select the File Uploader dengan PHP, dan To User Resource Type defaultnya None saja, namun bila anda ingin upload image select NONE silahkan ganti dengan pilihan IMAGE.

Kemudian anda upload file anda yang sudah ada simpan sebelumnya dengan .txt ataupun IMAGE dengan klik [BROWSER] lalu pilih file anda dan selanjutnya silahkan klik
send it to server

Jika ada tulisan File Uploaded With No Errors, maka anda telah sukses melakukan upload file deface, jika tidak berarti anda gagal.

Informasi terakhir dari halaman deface adalah seperti ini:




Disana akan muncul informasi hasil atau tempat file terupload yaitu /PowerCMS folder/files/INDOMEETING BLOG TUTORIAL by dani santana.txt

Karena url berada di sana, maka URL hasil deface upload akan berada disini

Domain URL: http://www.madhouse1.com/

Hasil Upload URL: /PowerCMS folder/files/INDOMEETING BLOG TUTORIAL by dani santana.txt

Gabungkan hasil dari file upload menjadi: http://www.madhouse1.com/PowerCMS folder/files/Sniper BLOG TUTORIAL by Sniper captain.txt

Nanti hasilnya akan seperti ini:

nah gampang sekali bukan :D silahkan anda lakukan sesuai trik ini :) ingat,Β 

dengan anda menjadi seorang defacer maupun hacker tak berarti membuat diri anda menjadi hebat!.



Komentar