Friday, 26 June 2015

Deface dengan Metode WP-Add Admin Vulnerabillity

Halo selamat malam fans.
kali ini saya akan share salah satu bug/celah pada Web yang berbasis Wordpress CMS ;)
Sekedar info, bahwa teknik ini memanfaatkan exploit kerentanan Add admin/Register New Admin pada direktori wp-login.php?action=register 
Kelebihan tutor kali ini yaitu bisa menebas index (halaman awal website) tanpa harus pake Shell :)  tapi kalo mau iseng2 upload shell juga bisa tetap bisa.


Oke langsung aja:

BAHAN :

  1. DORK  : Inurl:/wp-login.php?action=register  
                    Inurl:/register-2/ 
  2. Exploit : /wp-admin/theme-editor.php
  3. Kopi Hitam dan PC yang tersambung dgn Internet



POC : 
  
  1.  Masukan dork nya ke search engine gugel
  2. Cari target , dan jika vuln penampakannya seperti gambar dibawah 
      (Lalu Klik Register)





3. Lalu akan masuk ke page form pendaftaran, isi form nya tersebut lalu Klik Register.



4. Cek email sobat, maka akan diberi password acak dari web target sobat tadi.



5. Masukkann username dan password acak yang telah di daftarkan di page admin web target anda.



6. Done ^_^ , jika sudah masuk ke web target seterah mau sobat edit artikelnya kek, tebas index, edit2 submenu, iseng2 upload shell, pokoknya seterah sobat wkwkw :p



heheh Sekian tutorial kali ini.
Tutor ini saya dapatkan dari Blog Garuda Cyber Ghost Team (Art Team)
dan target ini saya pakai dari bekas mastah _MisterNotFound_
Bila ada kesalahan mohon maafkan lah hehehe
Salam Sukses :D



Source and Thanks to: Garuda Cyber Ghost Team (Art Team)

Big Thanks to for Garuda Cyber Ghost Team (Art-Team)





./Nuenomaru


Nuenomaru just an illusion in Cyber World










Visit and follow :

FP         : TKJ Cyber Art
G+         TKJ Cyber Art
youtube : TKJ Cyber Art
BBM      : C0018D1A2



EmoticonEmoticon