Cara Deface Web, Buat newbi

Oke ane mulai aja yah cara deface website yg paling mudah untuk para pemula seperti ane.

tuk yg udah master mohon bimbingannya ..
biar lebih asik deface nya kita tos cendol dulu

maap yah klo repost dan buat para mastah juga maap ane cuma review. 

Quote:

Quote:

Cara 1 Quote: Spoiler for Deface menggunakan ASPX:  DORK : inurl:Fck/fcklinkgallery.aspx atau /portals/0/ inurl:tabid/176/Default.aspx pilih salah satu dork nya klo udah ketemu target nya tambahkan ini "providers/htmleditorproviders/fck/fcklinkgallery.aspx di sini ane menggunakan dork inurl:Fck/fcklinkgallery.aspx dan target http://www.pivocom.com/ sebagai contohnya.. sehingga akan menjadi seperti ini : http://www.pivocom.com/Providers/Htm...nkgallery.aspx setelah nge klik itu, tnggu loading selesai baru kamu harus klik (File A file on your site) dan ganti alamat protocol website nya jadi : javascript:__doPostBack('ctlURL$cmdUpload','' ) ntar keluar sendiri tuh, tombol browse ny kya gini.. klo udah upload file yang pgn kamu masukin,, file yang bisa di upload antara lain: *. swf, *.jpg, *.jpeg, *.jpe, *.gif, *.bmp, *.png, *.doc, *.xls, *.ppt, *.pdf, *.txt, *.xml, *.xsl, *.css, *.zip, *.3gp, klo gk punya shell nya download aja di sini http://www.media*fire..com/?72blav74ddvdtea tapi gk smua web yang bisa upload file .html, ada bbrapa situs yg hanya bisa upload file .txt sebelum upload ubah ekstensi nya menjadi css misal : hacker.asp;.css ingat ! kita harus menambahkan titik nya dua kali [contohnamashell(.)asp(.)css] sehingga berakhiran ".asp;.css" misal : "hacker.asp;.css" upload, trus ktia buka hasil deface nya . . kita liat dlu tadi nama file yang kita upload apa misal : "hacker.asp;.css" kita buka alamat protocol nya caranya : ' kan tadi alamat nya "http://www.pivocom.com/Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx" [ dengan catatan setelah kita berhasil/ selesai upload ] nah..abis itu agan ganti alamat "http://www.pivocom.com/Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx" menjadi alamat halaman defaced kita menjadi http://www.pivocom.com/portals/0/agarirs.asp;.css intinya kita harus menambahkan "portals/0/" pada akhir http://www.pivocom.com/ Cara 2 Spoiler for Deface web dengan SPAW Vulnerably:  DORK inurl:spaw2/dialogs/ atau inurl:spaw2/uploads/files/ POC spaw2/dialogs/dialog.php?module=spawfm&dialog=spawfm&theme=spaw2 &lang=es&charset=&scid=cf73b58bb51c52235494da75 2d9 8cac9 jika sudah menemukan targetnya contoh seperti ini : http://olgabz.com/spaw2/dialogs/ lalu agan ganti spaw2/dialogs/ dengan spaw2/dialogs/dialog.php?module=spawfm&dialog=spawfm&theme=spaw2 &lang=es&charset=&scid=cf73b58bb51c52235494da75 2d9 8cac9 jadinya kya gini http://olgabz.com/spaw2/dialogs/dial...a752d9%208cac9 nanti akan muncul SPAW File Manager,lihat gambar di bawah ini : Spoiler for penampakan:  jangan lupa ganti type nya dari image ke File,dan agan tinggal upload file agan.. jika sudah trus di apain...?? trus agan lihat file kamu sudah masuk blom seperti gambar di bawah ini: Spoiler for penampakan:  lalu bagaimana cara melihat hasil deface kita??? cara nya,agan klick file yg sudah agan upload,nanti akan ada tulisan download file di sebelah kanan,,dan agan klick,,maka hasil file deface agan akan keluar seperti ini.. ni hasilnya http://olgabz.com/spaw2/uploads/files/agarirs.jpg udah dehh selesai deface nya,,gampang kan ??? cara 3 Quote: Spoiler for deface dengan metode opencar:  maaf ini khusus bwt newbie yg ingin blajar,,klo udah master mohon bimbingannya .. seperti biasa nyarinya lewat mbah google dork nya : SUPORT BY OPENCART atau Powered By OpenCart site:com (site nya bisa anagn ganti,seperti my,il, dll yang penting suport opencart) klo pengen smuanya,site nya ilangin jadi gini aja Powered By OpenCart langsung ke caranya,, jika agan sudah mendapatkan target nya contoh target http://www.digitalbazzar.co.uk/shop bisa juga www.digitalbazzar.co.uk/cart, www.digitalbazzar.co.uk/patch dll klo udah dapet targetnya tinggal kita inject exploitnya admin/view/javascript/fckeditor/editor/filemanager/connectors/test.html jadinya kya gini http://www.digitalbazzar.co.uk/shop/...tors/test.html klo ketemu yang kya gini http://digitalbazzar.co.uk/shop/ kamu inject di blakang /shop/ nya.. maka akan muncul tampilan seperti ini.. Spoiler for penampakan:  jangan lupa connectornya di ganti jadi PHP. lalu kamu masukin file deface kamu,jika berhasil maka ada bacaan alert seperti ini "file uploaded with no errors" untuk melihat apakan berhasil di upload atau tidak kamu ke "Get Folders and Files" dan lihat hasilnya... :P jika berhasil kamu tinggal masukin nama file deface kamu di blakang site nya,, maka hasilnya seperti ini.. http://www.digitalbazzar.co.uk/ cara 4 Quote: Spoiler for Deface dengan Patch Bug CMS Lokomedia:  contoh Lihat DORK= inurl:"admin/foto_berita/" inurl:"media.php?module=" allinurl:/media.php?module=berita pilih salah satu aja .. path : /admin/content.php?module=user PATCH untuk memperbaiki bugs pada CMS Lokomedia bisa dengan memberikan Patch pada file /admin/content.php dengan menambahkan penggalan kode berikut : session_start(); if (empty($_SESSION[namauser]) AND empty($_SESSION[passuser])){ echo "Maaf anda tidak berhak menjalankan modul ini"; } else{ .....Statement } Menambahkan penggalan kode yang sama di file /admin/aksi.php session_start(); if (empty($_SESSION[namauser]) AND empty($_SESSION[passuser])){ echo "Maaf anda tidak berhak menjalankan modul ini"; } else{ .....Statement } menyaring file yang akan di upload kode pada file aksi.php saat mengedit berita dengan penggalan kode berikut: if ($tipe_file != "image/jpeg" AND $tipe_file != "image/pjpeg"){ echo "Gagal menyimpan data !!! Tipe file $nama_file : $tipe_file Tipe file yang diperbolehkan adalah : JPG/JPEG. "; echo "Ulangi Lagi"; } else{ .....statement } Cara 5 Quote: Spoiler for Deface CMS Balitbang 3.42:  dorknya: inurl:/html/siswa.php? inurl:/html/alumni.php? inurl:/html/guru.php? Exploit : http://public_html/dir/editor/filema...ploadtest.html http://public_html/dir/editor/filema...tors/test.html http://public_html/dir/editor/filema...t/browser.html pilih salah satu aja ... klo udah milih target masukin exploitnya contoh : Code: http://smpn4pakem.sch.id/editor/filemanager/connectors/uploadtest.html lalu pilih connector nya dari ASP --> PHP,,tinggal masukin filenya agan deh...tapi berbentuk .TXT yah..

Quote:

Mohon maaf sebelumnya ane buat thread ini semata2 untuk pembelajaran saja,dan untuk mengetahui bagaimana cara defacer mendeface web kita.,yg paling penting gk ada istilah mastah atau newbie,kita sama2 belajar disini & saling melengkapi.