Deface dengan teknik ini yang didapat rata rata adalah site Indonesia, saya belum tau apa ada site luar soalnya ini balitbang. Oke karena menyangkut website negara sendiri yaitu Indonesia tercinta, jadi jangan ditebas indexnya ya.
Bahan bahan yang diperlukan :
Dork :
inurl:/member/daftar.php tim balitbang
inurl:/guru/ site:sch.id tim balitbang
tim balitbang "sch.id" "Surabaya"
Exploit :
/member/daftar.php
Versi Script : Download
Untuk versi scriptnya kalian bisa upload di shell agan sendiri atau file hosting gratisan dengan nama test.php
Backdoor :
Download : IndoXploit
1. Dorking
Pertama kita lakukan dorking seperti biasanya, kalau ingin mendapatkan fresh target kembangin sendiri dorkmu ya gan.
2. Exploit site !
Kita hanya perlu menambahkan url /member/daftar.php dibelakang website target. Cara yang cukup gampang bukan ?
3. Buka CSRF
Kalau sudah, masukkan website target, kemudian isikan kolom username dan passwordnya terserah lalu klik Next
4. Mengisi Chapta
Jika chapta tidak muncul tenang gan saya ada caranya, pertama klik kanan box chaptanya terus inspect element ganti /functions/captcha/captcha.php dengan /functions/spam.php nanti akan muncul chaptanya gan. Kalau sudah klik GO maka akan muncul notif register member berhasil.
5. Verifikasi Member
Setelah registrasi berhasil, klik disini untuk aktivasi/verifikasi!. Jika berhasil maka akan muncul notif bahwa verifikasi member sudah berhasil. Sekarang klik Lewat sini brade!!
6. Upload Backdoor !
Terkadang tidak bisa upload backdoornya karena tergantung amal dan ibadah gan, tapi jika semua step diatas semua dilakukan dengan benar dan diawali dengan doa, maka kita bisa mengupload shell kita. Sebelum mengupload shellnya kita klik tombol klik disini untuk bikin SESSION jika hasil yang tertulis yes maka kita coba upload shell berekstensi .phtml Kalau sudah klik save. Gambar dibawah adalah saat berhasil upload shellnya.
7. Cek shell
Kalau sudah begini taulah harus diapain, tinggal masuk saja, dan sekali lagi jangan tebas indexnya karena domainnya bisa suspend. Kasian gan beli domain itu juga pakai uang. :(
EmoticonEmoticon