Deface dengan teknik ini menurut saya pribadi sangat butuh kesabaran gan, karena cari targetnya susah giliran sudah ketemu bisa upload shell waktu dibuka shellnya malah kedownload, sedih kan. Jadi harus sabar aja dengan poc ini, karena kalau udah ketemu dan bisa diexploit kita bakal seneng sendiri gan. Oke langsung ke tutorialnya yuk.
Pertama agan harus punya bahannya, yaitu :
Dork : inurl:/server/php/files
Dork : inurl:/server/php/files
CSRF : Online
Exploit :
/server/php/
Shell : IndoXploit
1. Dorking images !
Pertama yaitu kita dorking tidak menggunakan url, untuk teknik kali ini kita dorking dengan google images.
2. Pilih gambar
Kalau sudah pilih gambarnya, klik view images, atau bisa diklik and drag gambarnya ya gan.
3. Exploit site !
Kalau tadi sudah diklik gambarnya, sekarang kita masukkan exploitnya dibelakang nama sitenya ya gan, contoh site.com/[dir]server/php/nanti akan muncul kode kode yang gak jelas kayak mantan, kadang juga ngeblank cuma muncul angka doank, kalau belum paham lihat gambar ya gan.
4. Masukkan ke CSRF
Masukkan url site yang sudah diexploit tadi, lalu isikan Post File dengan files[] setelah itu klik Kunci Target!!! Post file nya penulisannya harus benar ya gan. kalau belum paham lihat gambar dibawah ya.
5. Upload shell
Upload shellnya agan ya, tapi di tutorial ini saya gak upload shel tapi cuma script saja.
kalau udah upload shell/scriptnya maka akan redirect ke page lain. Nah untuk bagian ini harus teliti kadang nama shell kita berubah. Agan lihat bagian [{"name":"1503065836-38" angka itu adalah nama shell/script kita gan.
6. Test
Sekarang kita cari shell/script yang tadi kita upload tempatnya di site.com[dir]server/php/files/script.html
Untuk pembelajaran saya beri agan live target, biar semangat belajarnya :D
http://nunder.org/content/jQuery-File-Upload/server/php/
EmoticonEmoticon