Deface WordPress Theme Exploit (Vulnerbility CSRF)

Deface WordPress Theme Exploit (Vulnerbility CSRF)

Deface yang berdasarkan kamus UMUM berarti merusakkan; mencemarkan; menggoresi; menghapuskan tetapi arti kata deface disini yang sangat lekat adalah sebagai salah satu kegiatan merubah tampilan suatu website baik halaman utama  atau index filenya ataupun halaman lain yang masih terkait dalam satu  url dengan website tersebut (bisa di folder atau di file).

Deface adalah teknik mengganti atau menyisipkan file pada server, teknik ini dapat dilakukan karena terdapat lubang pada sistem security yang ada di dalam sebuah aplikasi. Hal ini bertujuan untuk melakukan perubahan tampilan pada website korban dengan tampilan yang dimiliki oleh si defacer. Deface merupakan sebuah serangan yang dilakukan untuk mengganti visual dari sebuah website. Para hacker biasanya meninggalkan pesan dan nickname mereka agar hasil kerjanya diketahui oleh khalayak hacker.

Lagi-lagi wordpress, tema-tema wordpress memang selalu mewarnai khasanah perexploitan (si anjirr), entah dari tahun berapa itu tema nya.. bug nya selalu belum di tutup -_-. Waspadalah para penguna WordPress. ceritanya gini : ane lagi jalan-jalan di gugel ngetik keyword dengan tutorial yang "Deface SQLi Schoolhos CMS" ketemu lah beberapa tema wordpress yang vuln CSRF karena tema nya kaga cuma satu, ane juga bingung namain judul artikel ini, ya sudahlah alakadar nya aja. simak deh tutorial "Deface WordPress Theme Exploit (Vulnerbility CSRF)". cek the crots :v

Bahan-Bahan :

1. Dork (ada lebih dari satu :v)

# inurl:/wp-content/themes/shepard/
# inurl:/wp-content/themes/money/
# inurl:/wp-content/themes/clockstone/
# inurl:/wp-content/themes/ambleside/
# inurl:/wp-content/themes/pacifico/

2. Exploit (lebih dari 1 juga -_-)
# /theme/functions/upload-bg.php
# /theme/functions/upload.php
# /theme/functions/uploadbg.php

3. CSRF Online : Touch She Oppai :v (Postname nya : uploadfile)

Step by Step :

1. Dorking lah kalian menggunakan dorking gambar (gugel gambar tau kan?)

2. Pilih Gambar nya deh... tunggu loading selesai setelah itu klik kanan -> Copy Image Location -> New Tab -> paste url dan go. (kalo di chrome bisa langsung open image in new tab klo kaga salah)

3. Masukan exploit di url si korban contoh : http://targetopgaza.co.li/wp-content/themes/namatemadiatas/theme/functions/upload-bg.php (coba aja exploit yang di atas satu-satu)

4. Vulnerbility ?? ada tulisan "_Tuan2Fay_ ganteng :v" Vuln : error

5. Buka CSRF Online nya.. masukan url target ke liang kubur, postname nya uploadfile, klik next upload file kalian..

6. Jika sukses akan ada nama random shell kalian. Look the Picture Hentai :v

Nanem Shell Backdoor di hati cewe nya kapan ? :'(

7. Akses Shell ?? Tanyakan pada oppai yang bergetar :* 

8. Akses : http://fakeangkot.taxi/wp-content/themes/namatemayangdiapakai/theme/functions/namarandomshellkalian.php

Note : Copas ? boleh tapi izin di komentar dan sertakan sumber link postingan ini !! kemaren nemu lagi 2 blog yang copas artikel ketikan ane tanpa sertakan sumber apa lagi izin -_- (Persetan Haters Transparan Seperti Kalian)

Membacalah !! Cermatilah !! Pahamilah !! Praktekan !!

Source:Disini