Wednesday 13 May 2015

Cara Deface Com_User Auto Exploiter dan Cara menanam shell di CMS Joomla

xixixhi,, kembali lagi sama saya admin ganteng :v 
Nuenomaru.
xixihi ,, kali ini saya akan menjelaskan dan memperaktekan sesuai judul thread ini.
pertama yang gak tau apa itu CMS Joomla :v biar selancar aja dulu di google :p

oke langsung aja:

bahan:
1. Scanner atau disini
2. Exploiter atau disini
3. Dork
4. Shell dan Script Deface


oke kita mulai :v
kita cari target dulu 

- pilih salah satu Dork
- pastekan di kotak pencarian google
- pilih web yang banyak
- pastekan semua link di scanner 
- jika sudah ketemu web yang vuln :D yuk mari kita eksekusi ^_^

*ciri - ciri berikut berdasarkan garis bawah., yang hampir dekat dengan garis footer.,
berarti web tadi vuln..,


oke lanjut lalu kita ke web yang vuln itu
kita tambahkan exploit berikut : index.php?option=com_users&view=registration

nanti tampilan akan seperti ini

lalu kita ctrl + u lalu kita cari kode hidden 
atau bisa klik kanan pilih view page source
cari hidden
apa gunanya hidden (untuk token nanti di auto exploiter)

ini dia hidden (tokennya)

lalu kita buka auto exploiternya nomer 2 diatas (bahan) atau bisa KLIK DISINI

masukan link target dan token yang sudah kita dapatkan tadi.
Lalu klik tombol Lock target terlebih dahulu.
maka akan menjadi seperti gambar dibawah ini :

setelah lock target lalu masukan Name , Username , Email , dan Email Again :D
lalu klik FIRE

kalau vuln tampilan akan seperti dibawah ini

lalu masukan password yang kalian mau :p
done

jika sudah cek email yang tadi kalian masukan ke exploiter untuk mendaftar ke web target ;)

jika tidak ada di kotak masuk, coba cek di SPAM

lalu kita klik LINK itu, untuk aktivasi

nanti akan dialihkan seperti gambar dibawah:
masukan username dan password yang tadi dikirim ke email kalian


lalu ke page Login
contoh: www.target.com/administrator

lalu masukan username dan password orang , eh ya password kalian lah :v
eittzz tapi ganti bahasa nya ke inggris dulu :D biar agak mudah dipahami :D

Done ^_^
kalian sudah masuk sebagai admin di web target :*
silahkan seterah mo di kecup manja , iris tipis, potong manis :v
xixixhi,, gini2 upload shell aja biar bisa langsung show off ke temen2 :v *dibully :\


CARA PASANG SHELL DI WEB JOOMLA

seterah deh mau disebut apa :v
cara menanam shell , cara mengupload shell , cara memasang shell, atau cara jadi ganteng 8|
xixixhi

cara pertama

klik Extension Manager

lalu klik browse -> pilih shell kalian -> lalu klik upload dan install

kalau berhasil ya akan muncul kek gambar dibawah ini :

berhasil deh di upload :D
xixihihi, sekarang panggil shell kalian
yupz cara manggilnya bukan dengan di SMS , atau di Telpon :v

caranya tambahkan tmp/namashellkalian.php

contoh : http://www.target.com/tmp/kucing.php


CARA KEDUA



oke setelah masuk klik Media Manager
lalu klik options > tambahkan php,
lihat gambar di bawah ini



lalu klik Save & Close

lalu scroll kebawah lalu klik Choose File
lalu pilih shell kalian lalu klik Start Upload


kalau sukses nanti ada muncul seperti ini


cara memanggil shell kita www.site.com/images/namashell.php

*ingat harus huruf kecil semua*




Bila ada yang ingin script checker dan exploiternya silahkan download disini

Titip Nama: TKJ Cyber Art

Sekian tutor cupu dari saya ;) 
semoga bermanfaat , bila ada kesaalahan atau hal yang harus di revisi silahkan komen saja gan.

NB: ingat tidak semua web yang memiliki CMS sama , memiliki celah/bug yang sama ;)
terus kembangkan Dork kalian agar selalu mendapatkan website yang perawan dan yang memiliki tingkat kelemahan yang banyak ;)

Source and thanks to: Haurgeulis


Nuenomaru
Nuenomaru Just an illusion in Cyber World


Visit and follow :

FP         : TKJ Cyber Art
G+         TKJ Cyber Art
youtube : TKJ Cyber Art
BBM      : C0018D1A2


6 comments

utk scanner silahkan minta di fanspage kami kak ^_^

#Nuenomaru

kok abis ane fire , malah forbidden gan ?

waduh belum ane cek lg gan, kalo memang gak bisa silahkan cari CSRF Register Joomla aja bang :D , work kok.

#Nuenomaru

yang mana om link brokennya ??
utk selanjutnya report disini bae om: http://www.tkjcyberart.org/2016/05/broken-link-and-image-reporter.html

tengkyuh partisipasinya

#Nuenomaru


EmoticonEmoticon