Monday, March 3, 2014

Deface Website Joomla Dengan Exploit com_user



Langsung aja , Talkless Do MORE !!

Langkah - Langkah :
1. Cari web target di Google dengan memasukkan Dork berikut .

intext:Joomla! is a flexible and powerful platform, whether you are building a small site for yourself or a huge site with hundreds of thousands of visitors site:com

#Dork Bisa di kembangin sendiri :P

Download Dulu Exploit Joomlanya : Download


2. lalu pilih target sobat , kalo sudah dapat web targetnya langsung tmbhkan target sobat dengan /administrator/
Perhatikan tulisan Joomla!® is free software released under the GNU General Public License
Dengan kotak tidak jauh .

contoh : http://eco-ramonage.com/administrator/

ini contoh nya , jarak kotak login sama garis bawah mepet ini berarti web ini Vuln com_user


Joomla yg bisa di exploit dengan metode com_user hanya versi 1.5 - 1.7
tapi lain lagi kalau uda patch !!

.lalu masukan exploit berikut.

>>  index.php?option=com_users&view=registration

saya ambil contoh disini :

http://www.eco-ramonage.com

3. kemudian saya tambahkan com_user menjadi :
http://www.eco-ramonage.com/index.php?option=com_users&view=registration

4. lalu Ctrl + u , trus cari token hidden dan register dengan ctrl+f ketik "hidden" !
seperti gambar ini ..
Edit Bagian Action >> Ganti URL dgn URL target yg sudah di tambahi Eploit com_user tadi
Edit Bagian veroot >> nanti nya akan jadi USERNAME
Edit Bagian fake.anonymous@yahoo.com dgn E-mail kamu ( Krn Nanti akan jadi konfirmasi )


5.jalankan file html yang tadi di download … ( password sengaja saya tidak samakan) jangan dirubah passwordnya ..
klik register

6. nntinya akan masuk di web asli.. Disini baru masukkan password yang sama , email bleh di rubah .. klik register .
jika muncul pesan seperti ini

Your account has been created and an activation link has been sent to the email address you entered. Note that you must activate the account by clicking on the activation link when you get the email before you can login.

7. Cek email .. trus klik kanan ( open link in new tab )
jika sudah ????? masuk k bagian administrator tadi
http://www.site.com/administrator

8.login pake user password yang tadi di daftar.

Belum punya shell ?? nih Ambil aja >> [X'in73ct Shell]


trus cara upload Shell / backdoor
. klik template manager
. Klik templates
. Klu udah di dalam templates Baru klik atomic…
. Klik edit main page templates
. Copy paste backdoor punya sobat ke dalam sini baru klik save

9. jika ada tulisan File successfully saved berarti jadi !!!
untuk masuk ke backdoor ..
http://www.site.com/templates/atomic/index.php

klik public html , baru upload script deface ..
DONE !!!! web berhasil di hack =))

Nb :Gak semua website bisa dengan teknik ini, harap selalu mencari dan mencoba! karena dalam dunia Hacking tidak ada yg instants dan bisa berhasil dengan mudah! Mereka yg berhasil adalah mereka yg selalu sabar berusaha dan terus mencoba! :P:P:P

Semua resiko ada di tangan ANDA !!
Trimakasih..hhehhee :D

"I Love Watanabe Mayu ( Mayuyu -AKB48 ) :*
Copas kasih Sumber yaa.. Hargai Penulis :)
Content Created : ./V404


Newer Post
Previous
This is the last post.

0 comments:

Post a Comment