Cara Deface Website Dengan File Upload

BinusHacker 27 Februari 2012 Tutorial 77 Comments 3,423 Views

Greeting BinusHacker Family Diseluruh Dunia,

Kali ini kami akan berbagi step-by-step detail mengenai cara mendeface website, deface website,
cara deface website dengan file upload.
Yang perlu dipersiapkan adalah
1.

Komputer yang terkoneksi ke internet dan kopi

2.

Target website yang memiliki kelamahan

3.

File defacement / halaman deface

Langsung saja ya, kita harus mencari website yang memiliki kelemahan file upload, nanti kita cari saja
disini www.exploit-db.com

PEMBUATAN FILE UNTUK DEFACE

Yang pertama harus kita lakukan adalah pembuatan file untuk deface, dibikin seindah mungkin.
BinusHacker Team, akan membuat halaman deface dengan extention .txt, bisa juga dengan
file .html, .php, .asp, .shtml, dsb. Tergantung dari kemauan saja.
BinusHacker Team akan membuat halaman deface dengan kata-kata berikut:
BinusHacker Team Was Here
Tutorial Deface By BinusHacker Team To All BinusHacker Family
*Remember: Its Just For Educational Purpose!

Ingat! Dengan mendeface tidak akan menjadikan anda hebat

Special thanks for www.binushacker.net
Buka notepad, dan kemudian paste kata-kata diatas. Note: Kata-kata bisa sesuka hati sang defacer,

tergantung mood
Langsung seperti gambar berikut:

Setelah selesai membuat dan merangkai kata yang indah, simpanlah file tersebut, sebagai contoh
seperti gambar berikut:

BinusHacker menamakan file defacenya dengan nama: defaced.txt, nanti file ini yang akan di
upload ke situs target.
Pembuatan halaman deface sudah selesai, lanjut ke step selanjutnya.

PENCARIAN & MENGUMPULKAN

INFORMASI KELEMAHAN WEBSITE
Yang harus kita lakukan adalah cari tombol SEARCH di website www.exploit-db.com, kemudian
klik. Masukkan keyword pencarian File Upload sesuai dengan data, contoh di gambar berikut:

Dari hasil search akan muncul banyak pilihan informasi-informasi kelemahan. Semua informasi ini
bisa berguna untuk deface dengan cara File Upload, hasilnya seperti gambar dibawah:

Dari sekian banyak kelemahan, ambil salah satu kelemahan misalkan FCKEditor All Version
Arbitary Vulnerability.
Klik informasi kelemahan tersebut, maka akan muncul petunjuk cara penggunaannya, seperti gambar
dibawah:

Nah, kita sudah mendapatkan infromasi kelemahan. Maka selanjutnya kita harus mencari website
target!

PENCARIAN WEBSITE TARGET DI

SEARCH ENGINE
Kita cari website target yang akan dideface di mesin pencari, bisa menggunakan BING, YAHOO,
BAIDU, ALLTHEWEB, GOOGLE. Kali ini yang paling mudah saja, gunakan GOOGLE!
Bukan google search engine, kemudian masukkan kata kuncinya. Kata kunci didapatkan dari
informasi kelemahan yang sebelumnya kita dapatkan, yaitu: /editor/filemanager/ , kita masukkan
kata kunci tersebut.
Cara memasukkanya dengan menggunakan fungsi INURL & SITE. INURL artinya pencarian
dilakukan kepada setiap website yang di URL Addressnya mengandung kata
/editor/filemanager/. SITE artinya pencarian dilakukan kepada domain TLD tertentu, disini kita
mencari domain yang akhirannya .COM. Sehingga keywordnya menjadi: inurl: /editor/filemanager/
site: com
Dari hasil pencarian tersebut akan muncul beberapa tampilan website seperti berikut:

Dari hasil tersebut kita sudah mendapatkan informasi website target

yaitu: http://www.madhouse1.com
Dengan informasi Situs Target URL
lengkapnya:http://www.madhouse1.com/clients/dna/cms/HTMLEditor/

EKSEKUSI UPLOAD FILE UNTUK DEFACE

Oke, dari informasi kelemahan yang sebelumnya kita dapatkan, bahwa kelemahan terdapat
di/editor/filemanager/connectors/uploadtest.html
http://www.madhouse1.com/clients/dna/cms/HTMLEditor/ <- Merupakan target dasar yang
didapatkan dari google dan belum ditambahkan dengan url untuk file upload.

/editor/filemanager/connectors/uploadtest.html <- Sebagai tambahan di link yang memiliki

kelemahan dan digunakan untuk file upload.
Kita gabungkan & masukkan URL webtarget tersebut sehingga
menjadi:http://www.madhouse1.com/clients/dna/cms/HTMLEditor/editor/filemanager/connector
s/uploadtest.html
Untuk lebih jelas lihat gambar berikut:

Dari sana, kita pilih Select the File Uploader dengan PHP, dan To User Resource Type
defaultnya None saja.
Lebih jelasnya seperti gambar berikut:

Kemudian pada Upload New File, klik Browse, nanti akan muncul folder pencarian, dimana akan
meminta file untuk di Upload. Carilah file deface yang telah dibuat sebelumnya. Karena sebelumnya
sudah disave dengan nama defaced.txt, maka kita cari file tersebut untuk di upload. Lihat gambar
berikut:

Setelah file terupload, langsung saja klik Send It To The Server, proses akan berjalan, nanti akan
muncul informasi seperti gambar dibawah:

Jika ada tulisan File Uploaded With No Errors, maka anda telah sukses melakukan upload file
deface, jika tidak berarti anda gagal.
Informasi terakhir dari halaman deface adalah seperti ini:

Disana akan muncul informasi hasil atau tempat file terupload yaitu /PowerCMS
folder/file/defaced.txt
Karena url berada di sana, maka URL hasil deface upload akan berada disini
Domain URL: http://www.madhouse1.com/
Hasil Upload URL: /PowerCMS folder/file/defaced.txt
Gabungkan hasil dari file upload menjadi: http://www.madhouse1.com/PowerCMS
folder/file/defaced.txt
Nanti hasilnya akan seperti ini:

Selamat anda sudah berhasil mendeface, sekarang tinggal di upload ke www.zone-h.org /

www.indonesiandefacer.org
INGAT! Jangan sekali-kali mendeface dengan mengatasnamakan BINUSHACKER.
Cara-cara di atas juga bisa diterapkan di berbagai vulnerability file upload, tinggal ikuti saja aturan
main sesuai dengan vulnerability yang ditemukan.
Sebagai latihan, langsung saja menggunakan live target berikut, gunakan sebelum di PATCH!
1. http://www.royzband.com/cms/HTMLEditor/
Berikut adalah tampilan deface BinusHacker di royzband.com

Terima kasih.. Semoga sukses dan semoga berhasil