Deface dengan teknik magento ini kebanyakan website yang kena adalah online shop gan, so jika kita hoki kita bisa ambil cc dari costumer nya gan, keren kan poc ini kan lumayan bisa jajan online hehehe. Oh iya karena kebanyakan site online shop racikan dorknya kalau bisa yang menyangkut nama barang ya gan, biar dapat yang fresh. Oke ga usah basa basi ya gan kita langsung ke tutorialnya.
Bahan bahan yang diperlukan :
Dork : ambil disini
Exploiter : disini juga
Scanner : disini
1. Dorking site
Oke step pertama adalah yaitu kita dorking ya gan. Perhatikan yang saya garis bawahi gan, itu result site yang terdeteksi oleh google. Karena kita pake auto exploiter usahakan dapet site yang banyak ya gan. Tapi kalo ga mau ya terserah, gak maksa :(
2. Scan site
Tadi sudah dorking, sekarang kita scan gan, emang ga bisa manual? bisa kok gan, tapi kalau ada yang auto kenapa pake manual? tapi akhirnya terserah agan sih mau pake auto apa manual hehe. Kadang total site yang di scan ga sesuai harapan gan, makanya di step pertama saya sarankan dorking yang resultnya banyak.
3. Exploit site !
Oke site list udah dapat, sekarang kita exploit semua site nya, kolom username sama password agan isi terserah saja, boleh diisi seperti digambar juga, intinya u/p itu untuk masuk di website korban yang success di exploit, untuk website yang berhasil diexploit maka nanti akan muncul di kolom Success.
4. Cari admin login
Okey gan sekarang kita tinggal mencari admin loginnya tenang gak usah panik, teknik ini gak seperti SQLi yang kadang admin loginnya ga ketemu, admin loginnya biasanya ada di site.com/index.php/admin dan site.com/admin. Ditahap ini bisa dikatakan sudah berhasil karena kita sudah bisa masuk di dasbornya.
6. Eksekusi site !
sekarang tinggal kita memasukkan script di website korban, kode popcash juga boleh <(") kalau hoki kita bisa menanam shell di website nya. Tempat taruh scriptnya ada di : System > Configuration > Design dibagian HTML Head > tinggal kita paste scriptnya disana. Cara tanam shellnya gimana gan? ga semua site bisa ditanam shell ya gan. Ciri ciri site yang bisa ditanam shell ada dibawah :)
8. Hasil
Kadang scriptnya gak rata sama sitenya lho gan, biar rata ya agan racik sendiri css discript agan biar pas sama background. Btw itu script cuma gitu doank biarlah :v yang penting ada nicknya dan bisa submit di def.id :p
Kita lihat dibagian kolom downloader kalau tulisannya Downloader is Writable itu tandanya bisa ditanami shell gan, kalau tulisannya fail, downloader is not writable pasti agan sudah tau maksudnya. Oh iya tempat tanam shellnya ada di Configuration > Magento downloader > login u/p sama seperti login admin. Perlu diketahui jika ingin menanamkan shell agan perlu file system untuk paste script shellnya gan, jika belum punya bisa didowload disini
Oke gan kira kira seperti itu langkah langah nya gan, maaf jika ada typo di thread ini, sekian ya gan, kalau agan masih belum paham bisa tanya dikolom komentar, biar nanti langsung saya yang jawab :)
EmoticonEmoticon