Cara Deface Web Dengan CSRF

Cara Deface Web Dengan CSRF - CSRF adalah singkatan dari Cross Site Request Forgery. Dengan CSRF ini, dapat memungkinkan kita untuk menanam shell pada web yang memiliki bug ini menggunakan suatu script. Bagaimana caranya? Simak yang satu ini.
1. Download script CSRF disini

2. Untuk mencari target, gunakan salah satu dork berikut ke google :
inurl:/wp-content/themes/shepard
inurl:/wp-content/themes/money
inurl:/wp-content/themes/clockstone
inurl:/wp-content/themes/ambleside
inurl:/wp-content/themes/pacifico
inurl:/wp-content/themes/qreator
inurl:/wp-content/themes/cleanple

3. Buka salah satu web yang akan dijadikan target.
Contoh : www.site.com/wp-content/themes/pacifico/images/
Ubah yang berwarna merah dengan theme/
Contoh : www.site.com/wp-content/themes/pacifico/theme/


Cara Deface Web Dengan CSRF

4. Nah anda klik folder function lalu klik "Upload-bg.php" atau "uploadbg.php" atau "upload.php"

5. Jika muncul tulisan "error" berarti web itu vuln. Jika muncul tulisan "You must be logged to access this script" berarti tidak vuln, anda harus cari target lain.

6. Sekarang anda buka script CSRF yang tadi anda download dengan notepad (klik kanan -> open with -> notepad). Anda ganti text URLTARGET dengan link webnya. Misalkan www.site.co.uk/wp-content/themes/cleanple/theme/functions/uploadbg.php. Lalu di save.

Cara Deface Web Dengan CSRF

7. Setelah pengeditan selesai & di save. Buka file CSRF yang sudah edit itu. Maka akan muncul form upload

Cara Deface Web Dengan CSRF

8. Upload shell anda, jika belum punya download disini

9. Jika proses upload selesai, akan muncul tulisan yang menunjukkan dimana keberadaan shell anda misal seperti ini : www.site.co.uk/wp-content/themes/cleanple/images/bgs/25e732d93a9402n19847u0.php
Nah berarti 25e732d93a9402n19847u0.php adalah nama shell anda. Cara membukanya yaitu : www.site.com/wp-content/themes/cleanple/theme/functions/25e732d93a9402n19847u0.php

10. Dan muncullah shell anda. Silahkan anda otak atik web tersebut sesuka anda.

Semoga berhasil ^_^

5 comments:

  1. Komentar ini telah dihapus oleh administrator blog.

    BalasHapus
  2. gan udh sampe di no 9 ,tapi pas dibuka shell nya gk ada [-(
    Page Not Found ;((

    BalasHapus
  3. Sabar gan, anda cari target lain aja [-(

    BalasHapus
  4. Komentar ini telah dihapus oleh administrator blog.

    BalasHapus
  5. gw ko ga muncul notif tempat shell gw yak :v

    BalasHapus

Hargai penulis dengan memberikan komentar yang baik dan mengklik iklan yang ada

Rules komentar :
1. No SPAM
2. No live link (link aktif)
3. Jika bertanya gunakan akun yang terdaftar
4. Komentar yang tidak pantas akan dihapus oleh admin

 
Top