Hack vbulletin forum dengan upgrade exploit + upload shell backdoor





Tutor kali ini akan mempraktekkan bagaimana cara exploit website yang beraliran cms vbulletin


ok langsung saja ya

kita butuhkan dork terlebih dahulu

Inurl://install/upgrade.php
intext:vBulletin 4.2.1 Upgrade System
intext:vbulletin-style.xml

copy salah satu dork tersebut lalu tulis di google untuk mencari web site yang rentan akan exploit nya

 setelah itu buka web nya 

lalu masukkan exploitnya 
/install/upgrade.php


misalnya : http://websitetarget.com/install/upgrade.php




kemudian ctrl + U halamanya 
dan anda akan di baa ke halaman source code halaman

dan cari  CUSTNUMBER



setelah mengcopy custnumbernya sekarang download script nya

https://dl.dropboxusercontent.com/s/rmk6y85fr7g11vo/0dayVbulletin-upgrade.php?token_hash=AAGnO5qdtsLUZtvgE87xJo10mNIXjA4gZQbbQBfwTD4w9g&dl=1


setelah download upload script tersebut ke hosting anda

atau bisa gunakan punya saya

http://partisikantor-sms.com/clearbox/language/en/0dayVbulletin-upgrade.php
 setelah itu
copy url korban ,
customer id isi dengan custnumber yang telah di copy tadi ,
username & password & email terserah anda

Lalu kita INJECT


dan sukses



jika berhasil kembali ke website korban dan login ke halaman admin panel nya
http://websitekorban.com/adminpanel

 lalu login dengan username & password yang telah dibuat tadi





dan berhasil sekarang tujuan kita disin adalah memasukkan backdoor php buat hack web tersebut

dowload backdoor php di --> https://dl.dropboxusercontent.com/s/iyde0pvi7jgyvih/kodok.php?token_hash=AAFqn-9NRtKhS7Thz_q1QogdJLF6dKcTpducDgr-gCiX1g&dl=1




done . . 

Next, tambahkan url di depan /admincp ditambah /plugin.php?do=files
http://webstarget/admincp/plugin.php?do=files


 Maka anda akan dibawa ke tempat upload shell


sekarang download backdoor shell yang berextensi .xml

download shell --> https://dl.dropboxusercontent.com/s/a3ub3oj8at75zxb/c99.xml.rar?token_hash=AAGfbp-U3BPYVEMzudsOOOpHW4a5eijwfV6yblNpnv6v9w&dl=1

lalu upload/import

Kalo upload nya dah selesai, cek di
http://webtarget.com/admincp/subscriptions.php

dan backdoor pun sudah tertanam pada web


tinggal sekarang terserah mau di deface atau yang lainya

Comments

Post a Comment

Popular posts from this blog

Dork Sql injection

Image
Langsung saja share dork sql injection silahkan masukkan salah satu keyword di bawah pada kotak pencarian google intext:�error in your SQL syntax� +site:in intext:�mysql_num_rows()� +site:in intext:�mysql_fetch_array()� +site:in intext:�Error Occurred While Processing Request� +site:in intext:�Server Error in �/� Application� +site:in intext:�Microsoft OLE DB Provider for ODBC Drivers error� +site:in intext:�Invalid Querystring� +site:in intext:�OLE DB Provider for ODBC� +site:in intext:�VBScript Runtime� +site:in intext:�ADODB.Field� +site:in intext:�BOF or EOF� +site:in intext:�ADODB.Command� +site:in intext:�JET Database� +site:in intext:�mysql_fetch_row()� +site:in intext:�Syntax error� +site:in intext:�include()� +site:in intext:�mysql_fetch_assoc()� +site:in intext:�mysql_fetch_object()� +site:in intext:�mysql_numrows()� +site:in intext:�GetArray()� +site:in intext:�FetchRow()� +site:in intext:�Input string was not in a correct format� +site:in inurl:/general.php?*id=* inurl:/car
Read more

Tutorial dasar xss

Image
Cross Site Scripting atau biasa dikenal dengan XSS merupakan salah satu vulnerability pada website yang kerap kali dapat ditemukan pada aplikasi website dan dapat digunakan oleh pihak-pihak yang tidak bertanggungjawab untuk mengeksekusi code HTML atau javascript pada komputer korban. Umumnya komputer yang menjadi korban adalah mereka yang mengakses website yang vulnerable. Tujuan  Tujuan dari peretas mengeksploitasi celah keamanan menggunakan teknik XSS adalah untuk mecuri cookie yang ada di komputer client (cookie stealing), Melakukan redirection URL dengan maksud �tertentu� (URL Redirection) melalui teknik kejahatan yang dinamakan phising dan lainnya. Tujuan lain dari tulisan ini dibuat adalah untuk menambah pemahaman kita tentang serangan dengan menggunakan XSS dan perbedaan antara teknik yang satu dan lainnya dalam mengeksploitasi vulnerability XSS. Jenis-jenis Cross Site Scripting (XSS) Secara umum, teknik XSS ini dibagi dalam tiga kelompok yaitu DOM Based XSS, Non-persistent XSS
Read more