Cara Deface Website Dengan File Upload

Published October 22, 2012 by miayulianti

Yang perlu dipersiapkan adalah

  1. Komputer yang terkoneksi ke internet dan kopi
  2. Target website yang memiliki kelamahan
  3. File defacement / halaman deface

Langsung saja ya, kita harus mencari website yang memiliki kelemahan file upload, nanti kita cari saja disini

www<dot>exploit-db<dot>com

PEMBUATAN FILE UNTUK DEFACE

Yang pertama harus kita lakukan adalah pembuatan file untuk deface, dibikin seindah mungkin.

BinusHacker Team, akan membuat halaman deface dengan extention .txt bisa juga dengan file .html, .php, .asp, .shtml, dsb

BinusHacker Team akan membuat halaman deface dengan kata-kata berikut:

BinusHacker Team Was Here

Tutorial Deface By BinusHacker Team – To All BinusHacker Family
*Remember: It’s Just For Educational Purpose!
Ingat! Dengan mendeface tidak akan menjadikan anda hebat :)

Special thanks for http://www.binushacker.net

Buka notepad, dan kemudian paste kata-kata diatas. Note: Kata-kata bisa sesuka hati sang defacer, tergantung mood :)

Langsung seperti gambar berikut:

Setelah selesai membuat dan merangkai kata yang indah, simpanlah file tersebut, sebagai contoh seperti gambar berikut:

BinusHacker menamakan file defacenya dengan nama: “devaced.txt” nanti file ini yang akan di upload ke situs target

Pembuatan halaman deface sudah selesai, lanjut ke step selanjutnya.

PENCARIAN & MENGUMPULKAN INFORMASI KELEMAHAN WEBSITE

Yang harus kita lakukan adalah cari tombol “SEARCH” di website www<dot>xploit-db<dot>com. kemudian klik. Masukkan keyword pencarian “File Upload” sesuai dengan data, contoh di gambar berikut:

Dari sekian banyak kelemahan, ambil salah satu kelemahan misalkan “FCKEditor All Version Arbitary Vulnerability“.

Klik informasi kelemahan tersebut, maka akan muncul petunjuk cara penggunaannya, seperti gambar dibawah:

Nah, kita sudah mendapatkan infromasi kelemahan. Maka selanjutnya kita harus mencari website target!

PENCARIAN WEBSITE TARGET DI SEARCH ENGINE

Kita cari website target yang akan dideface di mesin pencari, bisa menggunakan BING, YAHOO, BAIDU, ALLTHEWEB, GOOGLE.

Bukan google search engine, kemudian masukkan kata kuncinya. Kata kunci didapatkan dari informasi kelemahan yang sebelumnya kita dapatkan, yaitu: “/editor/filemanager/” , kita masukkan kata kunci tersebut.

Cara memasukkanya dengan menggunakan fungsi INURL & SITE. INURL artinya pencarian dilakukan kepada setiap website yang di URL Addressnya mengandung kata “/editor/filemanager/“. SITE artinya pencarian dilakukan kepada domain TLD tertentu, disini kita mencari domain yang akhirannya .COM. Sehingga keywordnya menjadi: inurl: /editor/filemanager/ site:com

Dari hasil pencarian tersebut akan muncul beberapa tampilan website seperti berikut:

 

Dari hasil tersebut kita sudah mendapatkan informasi website target yaitu: http://www.madhouse1.com

Dengan informasi Situs Target URL lengkapnya: http://www.madhouse1.com/clients/dna/cms/HTMLEditor/

EKSEKUSI UPLOAD FILE UNTUK DEFACE

Oke, dari informasi kelemahan yang sebelumnya kita dapatkan, bahwa kelemahan terdapat di /editor/filemanager/connectors/uploadtest.html

http://www.madhouse1.com/clients/dna/cms/HTMLEditor/ <- Merupakan target dasar yang didapatkan dari google dan belum ditambahkan dengan url untuk file upload.

/editor/filemanager/connectors/uploadtest.html <- Sebagai tambahan di link yang memiliki kelemahan dan digunakan untuk file upload.

Kita gabungkan & masukkan URL webtarget tersebut sehingga menjadi: http://www.madhouse1.com/clients/dna/cms/HTMLEditor/editor/filemanager/connectors/uploadtest.html

Untuk lebih jelas lihat gambar berikut:

Dari sana, kita pilih “Select the File Uploader” dengan “PHP“, dan “To User Resource Type” defaultnya “None” saja.

Lebih jelasnya seperti gambar berikut:

Kemudian pada “Upload New File“, klik “Browse“, nanti akan muncul folder pencarian, dimana akan meminta file untuk di Upload. Carilah file deface yang telah dibuat sebelumnya. Karena sebelumnya sudah disave dengan nama “defaced.txt“, maka kita cari file tersebut untuk di upload. Lihat gambar berikut:

Setelah file terupload, langsung saja klik “Send It To The Server“, proses akan berjalan, nanti akan muncul informasi seperti gambar dibawah:

Jika ada tulisan “File Uploaded With No Errors“, maka anda telah sukses melakukan upload file deface, jika tidak berarti anda gagal.

Informasi terakhir dari halaman deface adalah seperti ini:

Disana akan muncul informasi hasil atau tempat file terupload yaitu /PowerCMS folder/file/defaced.txt

Karena url berada di sana, maka URL hasil deface upload akan berada disini

Domain URL: http://www.madhouse1.com/

Hasil Upload URL: /PowerCMS folder/file/defaced.txt

Gabungkan hasil dari file upload menjadi: http://www.madhouse1.com/PowerCMS folder/file/defaced.txt

Nanti hasilnya akan seperti ini:

Selamat anda sudah berhasil mendeface, sekarang tinggal di upload ke http://www.zone-h.org / http://www.indonesiandefacer.org :)

Terima kasih.. Semoga sukses dan semoga berhasil :)

About these ads

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Rudi Wijisaksono Personal Blogs

Temukan Arti Hidup Dengan Blogs

Naufal Hisyam Blog

Jangan Takut Mencoba! Karna kita tidak akan tahu sebelum mencoba!

Gazette Art

Let's Make so Me Art ! Today, Tomorrow And Forever

Belajar ngeBlog

Mempelajari dan Mendalami tentang cara membuat blog

DSB CHANNEL

Berita Online

Bacaan Khusus 21 tahun Kebawah, no offense !!

Akimlinovsisa's Blog

"Bekerja cerdaslah daripada bekerja keras" "Senjata yang paling ampuh dalam hidup ini adalah SOPAN SANTUN"

Agustomank Blog

Jangan lupa selalu situs blogku dengan memasukan nama agustomank di searchengine.

pekingcoepo

This WordPress.com site is the bee's knees

miayulianti

Learn,Learn and Learn

WordPress.com News

The latest news on WordPress.com and the WordPress community.

Follow

Get every new post delivered to your Inbox.

%d bloggers like this: