Cara DEFACE WEBSITE Bagi Pemula
CARA DEFACE WEBSITE
UNTUK PEMULA (Jangan DiGunakan Untuk Kejahatan)
Kali ini kami akan berbagi
step-by-step detail
mengenai cara mendeface
website, deface website,
cara deface website
dengan file upload.
Yang perlu dipersiapkan
adalah
1. Komputer yang
terkoneksi ke internet
dan kopi
2. Target website yang
memiliki kelamahan
3. File defacement /
halaman deface
Langsung saja ya, kita
harus mencari website
yang memiliki kelemahan
file upload, nanti kita cari
saja disini
www.exploit-
db.com
PEMBUATAN FILE
UNTUK DEFACE
Yang pertama harus kita
lakukan adalah pembuatan
file untuk deface, dibikin
seindah mungkin.
BinusHacker Team, akan
membuat halaman deface
dengan extention.txt,
bisa juga dengan file
.html, .php, .asp, .shtml,
dsb. Tergantung dari
kemauan saja.
BinusHacker Team akan
membuat halaman deface
dengan kata-kata berikut:
BinusHacker Team Was
Here
Tutorial Deface By Adam
Honest – To All Newbie
Cyber
*Remember: It’s Just
For Educational Purpose!
Ingat! Dengan
mendeface tidak akan
menjadikan anda hebat
Special thanks for
www.binushacker.net
Buka notepad, dan
kemudian paste kata-kata
diatas. Note: Kata-kata
bisa sesuka hati sang
defacer, tergantung mood
Langsung seperti gambar
berikut:
Setelah selesai membuat
dan merangkai kata yang
indah, simpanlah file
tersebut, sebagai contoh
seperti gambar berikut:
BinusHacker menamakan
file defacenya dengan
nama: “
defaced.txt“, nanti
file ini yang akan di upload
ke situs target.
Pembuatan halaman
deface sudah selesai,
lanjut ke step
selanjutnya.
PENCARIAN &
MENGUMPULKAN
INFORMASI
KELEMAHAN WEBSITE
Yang harus kita lakukan
adalah cari tombol
“
SEARCH” di website
www.exploit-db.com,
kemudian klik. Masukkan
keyword pencarian “
File
Upload” sesuai dengan
data, contoh di gambar
berikut:
Dari hasil search akan
muncul banyak pilihan
informasi-informasi
kelemahan. Semua
informasi ini bisa berguna
untuk deface dengan cara
“File Upload“, hasilnya
seperti gambar dibawah:
Dari sekian banyak
kelemahan, ambil salah
satu kelemahan misalkan
“
FCKEditor All Version
Arbitary Vulnerability“.
Klik informasi kelemahan
tersebut, maka akan
muncul petunjuk cara
penggunaannya, seperti
gambar dibawah:
Nah, kita sudah
mendapatkan infromasi
kelemahan. Maka
selanjutnya kita harus
mencari website target!
PENCARIAN WEBSITE
TARGET DI SEARCH
ENGINE
Kita cari website target
yang akan dideface di
mesin pencari, bisa
menggunakan
BING,
YAHOO, BAIDU,
ALLTHEWEB, GOOGLE.
Kali ini yang paling mudah
saja, gunakan ‘
GOOGLE‘!
Bukan google search
engine, kemudian
masukkan kata kuncinya.
Kata kunci didapatkan
dari informasi kelemahan
yang sebelumnya kita
dapatkan, yaitu: “/editor/
filemanager/” , kita
masukkan kata kunci
tersebut.
Cara memasukkanya
dengan menggunakan
fungsi
INURL & SITE.
INURL artinya pencarian
dilakukan kepada setiap
website yang di URL
Addressnya mengandung
kata “
/editor/
filemanager/“. SITE
artinya pencarian
dilakukan kepada domain
TLD tertentu, disini kita
mencari domain yang
akhirannya
.COM.
Sehingga keywordnya
menjadi:
inurl: /editor/
filemanager/ site: com
Dari hasil pencarian
tersebut akan muncul
beberapa tampilan
website seperti berikut:
Dari hasil tersebut kita
sudah mendapatkan
informasi website target
yaitu:
http://
www.madhouse1.com
Dengan informasi Situs
Target URL lengkapnya:
http://
www.madhouse1.com/
clients/dna/cms/
HTMLEditor/
EKSEKUSI UPLOAD FILE
UNTUK DEFACE
Oke, dari informasi
kelemahan yang
sebelumnya kita dapatkan,
bahwa kelemahan
terdapat di
/editor/
filemanager/connectors/
uploadtest.html
http://
www.madhouse1.com/
clients/dna/cms/
HTMLEditor/ <-
Merupakan target dasar
yang didapatkan dari
google dan belum
ditambahkan dengan url
untuk file upload.
/editor/filemanager/
connectors/
uploadtest.html <-
Sebagai tambahan di link
yang memiliki kelemahan
dan digunakan untuk file
upload.
Kita gabungkan &
masukkan URL webtarget
tersebut sehingga
menjadi
: http://
www.madhouse1.com/
clients/dna/cms/
HTMLEditor/editor/
filemanager/connectors/
uploadtest.html
Untuk lebih jelas lihat
gambar berikut:
Dari sana, kita pilih
“
Select the File
Uploader” dengan “PHP“,
dan “To User Resource
Type” defaultnya “None”
saja.
Lebih jelasnya seperti
gambar berikut:
Kemudian pada “Upload
New File“, klik “Browse“,
nanti akan muncul folder
pencarian, dimana akan
meminta file untuk di
Upload. Carilah file
deface yang telah dibuat
sebelumnya. Karena
sebelumnya sudah disave
dengan nama
“
defaced.txt“, maka kita
cari file tersebut untuk
di upload. Lihat gambar
berikut:
Setelah file terupload,
langsung saja klik “
Send
It To The Server“,
proses akan berjalan,
nanti akan muncul
informasi seperti gambar
dibawah:
Jika ada tulisan “File
Uploaded With No
Errors“, maka anda telah
sukses melakukan upload
file deface, jika tidak
berarti anda gagal.
Informasi terakhir dari
halaman deface adalah
seperti ini:
Disana akan muncul
informasi hasil atau
tempat file terupload
yaitu
/PowerCMS
folder/file/defaced.txt
Karena url berada di sana,
maka URL hasil deface
upload akan berada disini
Domain URL:
http://
www.madhouse1.com/
Hasil Upload URL:/
PowerCMS folder/file/
defaced.txt
Gabungkan hasil dari file
upload menjadi:
http://
www.madhouse1.com/
PowerCMS folder/file/
defaced.txt
Nanti hasilnya akan
seperti ini:
Selamat anda sudah
berhasil mendeface,
sekarang tinggal di upload
ke www.zone-h.org /
www.indonesiandefacer.
org
INGAT! Jangan sekali-
kali mendeface dengan
mengatasnamakan
BINUSHACKER.
Cara-cara di atas juga
bisa diterapkan di
berbagai vulnerability file
upload, tinggal ikuti saja
aturan main sesuai dengan
vulnerability yang
ditemukan.
Sebagai latihan, langsung
saja menggunakan live
target berikut, gunakan
sebelum di PATCH!
1.http://
www.royzband.com/cms/
HTMLEditor/
Berikut adalah tampilan
deface BinusHacker di
royzband.com
Sumber : Google
BINUSHACKER
Terima kasih.. Semoga
sukses dan semoga
berhasil.
UNTUK PEMULA (Jangan DiGunakan Untuk Kejahatan)
Kali ini kami akan berbagi
step-by-step detail
mengenai cara mendeface
website, deface website,
cara deface website
dengan file upload.
Yang perlu dipersiapkan
adalah
1. Komputer yang
terkoneksi ke internet
dan kopi
2. Target website yang
memiliki kelamahan
3. File defacement /
halaman deface
Langsung saja ya, kita
harus mencari website
yang memiliki kelemahan
file upload, nanti kita cari
saja disini
www.exploit-
db.com
PEMBUATAN FILE
UNTUK DEFACE
Yang pertama harus kita
lakukan adalah pembuatan
file untuk deface, dibikin
seindah mungkin.
BinusHacker Team, akan
membuat halaman deface
dengan extention.txt,
bisa juga dengan file
.html, .php, .asp, .shtml,
dsb. Tergantung dari
kemauan saja.
BinusHacker Team akan
membuat halaman deface
dengan kata-kata berikut:
BinusHacker Team Was
Here
Tutorial Deface By Adam
Honest – To All Newbie
Cyber
*Remember: It’s Just
For Educational Purpose!
Ingat! Dengan
mendeface tidak akan
menjadikan anda hebat
Special thanks for
www.binushacker.net
Buka notepad, dan
kemudian paste kata-kata
diatas. Note: Kata-kata
bisa sesuka hati sang
defacer, tergantung mood
Langsung seperti gambar
berikut:
Setelah selesai membuat
dan merangkai kata yang
indah, simpanlah file
tersebut, sebagai contoh
seperti gambar berikut:
BinusHacker menamakan
file defacenya dengan
nama: “
defaced.txt“, nanti
file ini yang akan di upload
ke situs target.
Pembuatan halaman
deface sudah selesai,
lanjut ke step
selanjutnya.
PENCARIAN &
MENGUMPULKAN
INFORMASI
KELEMAHAN WEBSITE
Yang harus kita lakukan
adalah cari tombol
“
SEARCH” di website
www.exploit-db.com,
kemudian klik. Masukkan
keyword pencarian “
File
Upload” sesuai dengan
data, contoh di gambar
berikut:
Dari hasil search akan
muncul banyak pilihan
informasi-informasi
kelemahan. Semua
informasi ini bisa berguna
untuk deface dengan cara
“File Upload“, hasilnya
seperti gambar dibawah:
Dari sekian banyak
kelemahan, ambil salah
satu kelemahan misalkan
“
FCKEditor All Version
Arbitary Vulnerability“.
Klik informasi kelemahan
tersebut, maka akan
muncul petunjuk cara
penggunaannya, seperti
gambar dibawah:
Nah, kita sudah
mendapatkan infromasi
kelemahan. Maka
selanjutnya kita harus
mencari website target!
PENCARIAN WEBSITE
TARGET DI SEARCH
ENGINE
Kita cari website target
yang akan dideface di
mesin pencari, bisa
menggunakan
BING,
YAHOO, BAIDU,
ALLTHEWEB, GOOGLE.
Kali ini yang paling mudah
saja, gunakan ‘
GOOGLE‘!
Bukan google search
engine, kemudian
masukkan kata kuncinya.
Kata kunci didapatkan
dari informasi kelemahan
yang sebelumnya kita
dapatkan, yaitu: “/editor/
filemanager/” , kita
masukkan kata kunci
tersebut.
Cara memasukkanya
dengan menggunakan
fungsi
INURL & SITE.
INURL artinya pencarian
dilakukan kepada setiap
website yang di URL
Addressnya mengandung
kata “
/editor/
filemanager/“. SITE
artinya pencarian
dilakukan kepada domain
TLD tertentu, disini kita
mencari domain yang
akhirannya
.COM.
Sehingga keywordnya
menjadi:
inurl: /editor/
filemanager/ site: com
Dari hasil pencarian
tersebut akan muncul
beberapa tampilan
website seperti berikut:
Dari hasil tersebut kita
sudah mendapatkan
informasi website target
yaitu:
http://
www.madhouse1.com
Dengan informasi Situs
Target URL lengkapnya:
http://
www.madhouse1.com/
clients/dna/cms/
HTMLEditor/
EKSEKUSI UPLOAD FILE
UNTUK DEFACE
Oke, dari informasi
kelemahan yang
sebelumnya kita dapatkan,
bahwa kelemahan
terdapat di
/editor/
filemanager/connectors/
uploadtest.html
http://
www.madhouse1.com/
clients/dna/cms/
HTMLEditor/ <-
Merupakan target dasar
yang didapatkan dari
google dan belum
ditambahkan dengan url
untuk file upload.
/editor/filemanager/
connectors/
uploadtest.html <-
Sebagai tambahan di link
yang memiliki kelemahan
dan digunakan untuk file
upload.
Kita gabungkan &
masukkan URL webtarget
tersebut sehingga
menjadi
: http://
www.madhouse1.com/
clients/dna/cms/
HTMLEditor/editor/
filemanager/connectors/
uploadtest.html
Untuk lebih jelas lihat
gambar berikut:
Dari sana, kita pilih
“
Select the File
Uploader” dengan “PHP“,
dan “To User Resource
Type” defaultnya “None”
saja.
Lebih jelasnya seperti
gambar berikut:
Kemudian pada “Upload
New File“, klik “Browse“,
nanti akan muncul folder
pencarian, dimana akan
meminta file untuk di
Upload. Carilah file
deface yang telah dibuat
sebelumnya. Karena
sebelumnya sudah disave
dengan nama
“
defaced.txt“, maka kita
cari file tersebut untuk
di upload. Lihat gambar
berikut:
Setelah file terupload,
langsung saja klik “
Send
It To The Server“,
proses akan berjalan,
nanti akan muncul
informasi seperti gambar
dibawah:
Jika ada tulisan “File
Uploaded With No
Errors“, maka anda telah
sukses melakukan upload
file deface, jika tidak
berarti anda gagal.
Informasi terakhir dari
halaman deface adalah
seperti ini:
Disana akan muncul
informasi hasil atau
tempat file terupload
yaitu
/PowerCMS
folder/file/defaced.txt
Karena url berada di sana,
maka URL hasil deface
upload akan berada disini
Domain URL:
http://
www.madhouse1.com/
Hasil Upload URL:/
PowerCMS folder/file/
defaced.txt
Gabungkan hasil dari file
upload menjadi:
http://
www.madhouse1.com/
PowerCMS folder/file/
defaced.txt
Nanti hasilnya akan
seperti ini:
Selamat anda sudah
berhasil mendeface,
sekarang tinggal di upload
ke www.zone-h.org /
www.indonesiandefacer.
org
INGAT! Jangan sekali-
kali mendeface dengan
mengatasnamakan
BINUSHACKER.
Cara-cara di atas juga
bisa diterapkan di
berbagai vulnerability file
upload, tinggal ikuti saja
aturan main sesuai dengan
vulnerability yang
ditemukan.
Sebagai latihan, langsung
saja menggunakan live
target berikut, gunakan
sebelum di PATCH!
1.http://
www.royzband.com/cms/
HTMLEditor/
Berikut adalah tampilan
deface BinusHacker di
royzband.com
Sumber : Google
BINUSHACKER
Terima kasih.. Semoga
sukses dan semoga
berhasil.
Komentar
Posting Komentar