Escolar Documentos
Profissional Documentos
Cultura Documentos
2.
3.
Langsung saja ya, kita harus mencari website yang memiliki kelemahan file upload, nanti kita cari saja
disini www.exploit-db.com
tergantung mood
Langsung seperti gambar berikut:
Setelah selesai membuat dan merangkai kata yang indah, simpanlah file tersebut, sebagai contoh
seperti gambar berikut:
BinusHacker menamakan file defacenya dengan nama: defaced.txt, nanti file ini yang akan di
upload ke situs target.
Pembuatan halaman deface sudah selesai, lanjut ke step selanjutnya.
Dari hasil search akan muncul banyak pilihan informasi-informasi kelemahan. Semua informasi ini
bisa berguna untuk deface dengan cara File Upload, hasilnya seperti gambar dibawah:
Dari sekian banyak kelemahan, ambil salah satu kelemahan misalkan FCKEditor All Version
Arbitary Vulnerability.
Klik informasi kelemahan tersebut, maka akan muncul petunjuk cara penggunaannya, seperti gambar
dibawah:
Nah, kita sudah mendapatkan infromasi kelemahan. Maka selanjutnya kita harus mencari website
target!
Dari sana, kita pilih Select the File Uploader dengan PHP, dan To User Resource Type
defaultnya None saja.
Lebih jelasnya seperti gambar berikut:
Kemudian pada Upload New File, klik Browse, nanti akan muncul folder pencarian, dimana akan
meminta file untuk di Upload. Carilah file deface yang telah dibuat sebelumnya. Karena sebelumnya
sudah disave dengan nama defaced.txt, maka kita cari file tersebut untuk di upload. Lihat gambar
berikut:
Setelah file terupload, langsung saja klik Send It To The Server, proses akan berjalan, nanti akan
muncul informasi seperti gambar dibawah:
Jika ada tulisan File Uploaded With No Errors, maka anda telah sukses melakukan upload file
deface, jika tidak berarti anda gagal.
Informasi terakhir dari halaman deface adalah seperti ini:
Disana akan muncul informasi hasil atau tempat file terupload yaitu /PowerCMS
folder/file/defaced.txt
Karena url berada di sana, maka URL hasil deface upload akan berada disini
Domain URL: http://www.madhouse1.com/
Hasil Upload URL: /PowerCMS folder/file/defaced.txt
Gabungkan hasil dari file upload menjadi: http://www.madhouse1.com/PowerCMS
folder/file/defaced.txt
Nanti hasilnya akan seperti ini:
www.indonesiandefacer.org
INGAT! Jangan sekali-kali mendeface dengan mengatasnamakan BINUSHACKER.
Cara-cara di atas juga bisa diterapkan di berbagai vulnerability file upload, tinggal ikuti saja aturan
main sesuai dengan vulnerability yang ditemukan.
Sebagai latihan, langsung saja menggunakan live target berikut, gunakan sebelum di PATCH!
1. http://www.royzband.com/cms/HTMLEditor/
Berikut adalah tampilan deface BinusHacker di royzband.com