0

Deface dengan CSRF Balitbang

Sabtu, 30 April 2016
Share this Article on :
Bahan - Bahan :

- CSRF :  Script CSRF Balitbang ( Copy, lalu paste dinotepad, dan save dengan extensi file ' .html ' / ' .htm ' 
- Email yang masih aktif
- Wajah ganteng :p

Langkah - Langkah :

 1. Pertama-tama kita cari dulu targetnya di google, dengan dork berikut :

inurl:/member/daftar.php

2. Setelah menemukan targetnya, kita klik target tersebut, dan masukin exploit berikut :
/member/daftar.php
Contoh : http://site.sch.id/member/daftar.php

3. Maka tampilannya akan seperti ini :


 note :  jika menemukan url sperti ini "http://www.smkn5smg.sch.id/member/daftar.php?id=lupa "
hapus ajah urlnya menajadi  http://www.smkn5smg.sch.id/member/daftar.php

4. Lalu isikan kotak yang kosong itu, dan klik Daftar / Simpan
5. Setelah kita klik Daftar / Simpan, maka tampilannya akan seperti ini : 


6. Setelah itu kita buka email kita ( email yang tadi buat daftar jadi member )
7. Lalu lihat di Kotak Masuk / di SPAM, lalu kita klik Validasi Member 

8. Setelah kita mengklik Validasi Member, maka tampilannya akan seperti ini : 

9. Lalu klik Lanjutkan, dan masukan Username dan Passwordnya ;)
10. Setelah kita masuk, lalu buka CSRFnya ( Untuk upload shell )
11. Copy ( Web Depan / Web Sekolahnya ) dan paste webnya ke CSRF, Lihat gambar : 

note : yang di blok itu isikan dengan alamat target kalian 


12. Setelah itu, kita save dan buka CSRFnya, maka tampilannya akan seperti ini : 



 13. Setelah itu, tinggal pasang shell backdoor kalian dan klik Upload :D ( Jika tidak punya shell backdoor, sebaiknya cari dulu di google, dan download :p )
14. Setelah kita klik Upload, maka akan ada bacaan seperti ini
Anda tidak diperkenankan mengakses fasilitas ini.
Silahkan daftar menjadi member dan login terlebih dahulu.
'  itu tandanya kita berhasil memasang shell ^_^

15. Tempat akses shellnya : /materi/file.php ( ingat, walaupun shell yang kalian upload tadi bernama ganteng.php atau apalah yang sering kalian pake, maka setelah kita meng uploadnya, itu akan berubah menjadi file.php ) tetapi jika kita buka /materi/file.php malah 404 Not Found / 500 Internal Server / 403 Forbidden, saya sarankan kalian mencari target lain :p

contoh : http://site.sch.id/materi/file.php
16. Setelah shell kalian kebuka, kalian bebas deh mau ngapain aja :D tapi saya saranin sih jangan tebas indexnya :D cukup nitip file saja :D

 Ok sekian :p
  


Artikel Terkait:

0 komentar:

Posting Komentar