Assalamualaikum sobat NOT_FOUND yang berbahagia :)
(DI REVISI)
Pagi yang mendung ini, saya mau ngasih tutor nih.
Merubah halaman depan website dengan teknik WP-Login + Login as Admin.
Perlu di perhatikan masbro, teknik ini hanya bisa dilakukan jika website tersebut menggunakan CMS Wordpress.
Sekedar info, bahwa teknik ini memanfaatkan plugin kerentanan Add admin/Register New Admin pada direktori wp-login.php?action=register
Kelebihan tutor saya kali ini yaitu bisa menebas index (halaman awal website) tanpa harus pake Shell :)
Sebenarnya ini teknik lama, tapi karena jarang di publish dan jarang banget ditemukan di google, akhirnya saya publish artikel ini dengan senang hati :v
Ok, langsung caw sobat ;)
Shortcut : Click Here for Tutorial on Youtube
1. DORK UMUM:
inurl:/wp-login
DORK KEMBANGAN SAYA :
Inurl:/wp-login.php?action=register
Inurl:/register-2/
2. Exploit :
wp-admin/theme-editor.php
3. POC :
- Pergi ke mbah google, lalu masukkan dork tersebut ke dalam kotak penelusuran google. Lalu Enter
- Pilih website yang sampeyan taksir :p
- Lalu akan muncul laman yang memberitahukan bahwa anda harus login terlebih dahulu. Nah bagaimana kita bisa login? Cukup simple, sampeyan klik REGISTER
- Kalo udah ketemu index.php nya , sekarang sampeyan tinggal copy-paste script deface nya deh :)
- Klik Update File jika semuanya wis rampung :)
(DI REVISI)
Pagi yang mendung ini, saya mau ngasih tutor nih.
Merubah halaman depan website dengan teknik WP-Login + Login as Admin.
Perlu di perhatikan masbro, teknik ini hanya bisa dilakukan jika website tersebut menggunakan CMS Wordpress.
Sekedar info, bahwa teknik ini memanfaatkan plugin kerentanan Add admin/Register New Admin pada direktori wp-login.php?action=register
Kelebihan tutor saya kali ini yaitu bisa menebas index (halaman awal website) tanpa harus pake Shell :)
Sebenarnya ini teknik lama, tapi karena jarang di publish dan jarang banget ditemukan di google, akhirnya saya publish artikel ini dengan senang hati :v
Ok, langsung caw sobat ;)
Shortcut : Click Here for Tutorial on Youtube
1. DORK UMUM:
inurl:/wp-login
DORK KEMBANGAN SAYA :
Inurl:/wp-login.php?action=register
Inurl:/register-2/
2. Exploit :
wp-admin/theme-editor.php
3. POC :
- Pergi ke mbah google, lalu masukkan dork tersebut ke dalam kotak penelusuran google. Lalu Enter
- Pilih website yang sampeyan taksir :p
- Lalu akan muncul laman yang memberitahukan bahwa anda harus login terlebih dahulu. Nah bagaimana kita bisa login? Cukup simple, sampeyan klik REGISTER
- Kemudian masukan Username serta Email anda. Dan klik Register.
- Buka email anda, lihat inbox. Kemudian salin data tersebut dan klik link yang ada tertera di inbox itu.
- Paste-kan data yang di salin tadi ke kolom admin. Langsung deh klik Login :)
- Kalo vuln, pasti akan masuk ke dashboard admin nya sobat ;)
- Setelah bisa bahagia masuk ke admin nya, sekarang sampeyan masukin Exploit nya. Dan cari data index.php
- Kalo udah ketemu index.php nya , sekarang sampeyan tinggal copy-paste script deface nya deh :)
- Klik Update File jika semuanya wis rampung :)
- Jika berhasil, akan muncul notice seperti ini
- Sekarang cek website nya :) Caranya tinggal delete exploit nya ;)
Dan SELAMAT , sampeyan telah berhasil menebas index website nya :) Dan tampilan halaman awalnya telah berubah ;)
Mantaaab !! :D
BalasHapusTutorialnya bagus , master. Thanks
BalasHapusTutorialnya bagus , master. Thanks
BalasHapusbagi script deface nya donk mastah :)
BalasHapusDi gugel banyak kok mbah (o)
Hapuskalau cara antisipasinya gimana mastah ??
BalasHapusThx mastah :v
BalasHapuskok ga ada dashboard lengkap nya ya mas ? ;(( ;((
BalasHapusAne jg gitu ☹️
Hapus