Skip to main content

Inject Script PHP ke Image

Image
By
squadcyber.org - Pernah nggak sih agan ketemu dengan form file upload, tapi hanya memperbolehkan file image only? pasti pernah kan, kebanyakan orang mungkin make teknik tamper data atau bisa juga make live http header, atau ingin menyisipkan backdoor di suatu website agar tidak di curigai admin?, tapi cara ini tidak 100% work.

Nah pada tutor kali ini gw mw share cara manipulasi backdoor ke file jpg,
ya walaupun dengan cara ini tidak mnjamin 100% backdoor akan terupload juga :'v , setidaknya nambah wawasan agan-sista pembaca dsini, mengenai method upload shell backdoor ^_^

Alat 
  • Windows
         - Quick EXIF Editor ( Download di sini )
  • Linux
        - Exif (apt-get install exif)
        - Exiv2 (apt-get install exiv2)
        - Jhead (apt-get install jhead)

        NOTE : install salah satu saja, pada tutorial kali ini gw make jhead (jpg only)

 Code PHP Inject

Plain Text


With Image


 Tutorial Inject PHP ke Image

Windows

Buka tool tadi yang sudah kalian download
 Pencet open, dan cari gambar yang mau di sisipkan kode php
Lalu klik tanda +
Klik yes untuk melanjutkan
Type di isi dengan DocumentName, dan vakue kalian isi terserah, lalu klik ADD.

 Setelah itu, kita klik pending change (lihat gambar di bawah)
Lalu klik file yang kita edit tadi, dan klik Edit Modification.
Lalu pastekan kode inject tadi di kolom values, dan klik save.
Lalu klik OK and Close.
Klik Commit Change.
Lalu tentukan dimana kalian akan mengimpan file tersebut, dan klik save.
Kita cek apakah image nya sudah ke inject, buka dengan notepad ++
Kalau udah muncul kayak gini brati kode nya berhasil ke inject di gambar nya.


Linux / Termux

Pertama siapkan gambar yang akan di sisipi script php.
Setelah itu buka terminal linux atau termux kalian, dan cari dimana tempat gambar yang kalian simpan dan ketikkan kode di bawah ini untuk membersihkan komen pada gambar tersebut.

$ jhead -purejpg namafile.jpg

Setelah bersih gambar nya dari komen, lalu ketilkan kode

$ jhead -ce namafile.jpg

Maka akan muncul vim text editor seperti gambar di bawah ini.
Dan masukkan kode inject php di atas tadi, lalu save dengan pencet ALT + :wq .

Setelah ter save komen baru di image tadi, kita coba cek apakah sudah masuk script inject php tadi dengan mengetikkan.

$ jhead namafile.jpg

Jika muncul seperti gambar di atas berarti kode inject php sudah masuk dalam gambar tersebut.

Eksekusi Target Dengan Image Inject Scipt PHP

Pertama kalian harus punya target terlebih dahulu, di sini gw sudah punya target dan sudah gw upload di web tersebut, sebelum di upload ganti ext file img yang sudah kalian inject script php tadi dari namafile.jpg menjadi namafile.php.

Cara menggunakannya cukup dengan mengetik

/namafile.php?cmd=

Dan ketikkan kode terminal seperti hal nya terminal linux atau termux kita.

Contoh :

http://www.acershowroom.com/alien.php?cmd=ls -la

Maka akan muncul seperti ini.
Atau juga bisa kalian buka dengan view source agar lebih jelas.

Dan untuk upload shell kalian cukup dengan wget dan pastekan link shell kalian yang berformat .txt lalu ubah ext nya ke .php dengan mengetikkan seperti cara yang tadi gw jelaskan.
Demikian tutorial cara inject script php ke file gambar.

Thanks to CYBERSCRY untuk shell nya mwehehe :v

Refrensi : http://blog.yuzaside.com/2016/10/trik-inject-php-script-ke-file-gambar.html
Labels:

Comments

Post a Comment

Popular posts from this blog

Mahasiswa UBSI Serahkan Aplikasi Web 'SISTEM INFORMASI PENGELOLAAN ZIS' kepada LAZISMU Unit Wage

By
  J akarta, 10 Oktober 2025 - Ismail Hasan Basri , mahasiswa dari Universitas Bina Sarana Informatika (UBSI) , berhasil menyelesaikan proyek tugas akhirnya berupa aplikasi inovatif. Aplikasi yang diberi nama "SISTEM INFORMASI PENGELOLAAN ZIS BERBASIS WEB" ini diserahkan secara resmi kepada LAZISMU (Lembaga Amil Zakat, Infak, dan Sedekah Muhammadiyah) Unit Wage sebagai produk dari skripsinya. Sistem berbasis web ini dirancang untuk memodernisasi dan meningkatkan efisiensi seluruh proses pengelolaan Zakat, Infak, dan Sedekah (ZIS) di LAZISMU Unit Wage. Dengan aplikasi ini, LAZISMU diharapkan dapat melakukan pencatatan, pelaporan, serta transparansi data penerimaan dan penyaluran dana ZIS secara lebih cepat, akurat, dan mudah diakses. Ismail Hasan Basri , mahasiswa Program Studi Sistem Informasi UBSI, menyatakan, "Pengelolaan ZIS yang masih dilakukan secara manual memiliki risiko kesalahan data dan kurang efisien. Aplikasi ini hadir untuk memberikan solusi digital, memas...
Post a Comment
Read more

Social Media Bruteforce Tool (Facebook, Gmail, Instagram, Twitter)

By
squadcyber - SocialBox adalah tool yang berfungsi sebagai alat untuk Bruteforce beberapa sosial media seperti Facebook, Gmail, Instagram dan Twitter. Tested On Backbox Linux Ubuntu Kali Linux Cara Install dan Menjalankan SocialBox $ sudo apt-get install git $ sudo git clone https://github.com/TunisianEagles/SocialBox.git $ cd SocialBox $ chmod +x SocialBox.sh $ chmod +x install-sb.sh $ ./install-sb.sh $ ./SocialBox.sh  Contact Contact - Belahsan Ouerghi cara bruteforce wifi cara bruteforce instagram cara bruteforce router cara brute force wordpress cara brute force gmail cara brute force cpanel cara brute force di android cara brute force cara brute force akun gmail cara brute force akun fb cara bruteforce facebook android cara brute force attack cara brute force attack facebook cara brute force android cara hack facebook brute force android cara brute force biss key cara belajar brute force cara buat brute force cara brute force dengan cmd cara brute ...
Post a Comment
Read more

Cara Mendapatkan Akses Root di Termux Tanpa Root

By
squadcyber - Di Termux kita dapat melakukan hal apa saja yang kita inginkan untuk melakukan kegiatan hacking, atau sebatas programming, namun adakala nya kita tidak leluasa karena tool yang kita jalankan membutuhkan akses Root sedangkan HandPhone yang kita gunakan untuk menjalankan Termux masih perawan atau belum di root, dengan alasan Me-Root HP dapat menghilangkan garansi HP tersebut, atau kalian yang tidak bisa nge-root HP nya. Maka dari itu, kita mencari alternatif lain agar termux kita dapat menjalankan tool yang membutuhkan hak akses root pada HP kita dengan menginstal Termux Fakeroot di termux kita. Termux Fakeroot bekerja untuk mengelabui system android kita agar system tersebut mendeteksi android kita telah memiliki akses root, padahal tidak. Dengan Fakeroot kita dapat menjalankan tool yang semula nya membutuhkan akses root di Hp kita tanpa susah-susah untuk me-root Hp kita. Tapi Fakeroot ini hanya bekerja sebatas pada termux saja, tidak untuk hal yang lain sepe...
Post a Comment
Read more