Home » Hacking » Cara Deface Wordpress

Saturday, February 23, 2013

Cara Deface Wordpress


Apa kabar? Baik kan? :*
Kali ini saya mau berbagi cara exploit website berbasis wordpress dengan metode reset password admin.

Ok, langsung saja ke pokok permasalahannya.
Berikut step-step nya :
  1. cari target memakai dork ini inurl:"fbconnect_action=myhome" (dork bisa dikembangkan, misala tambahkan site:.uk)
  2. setelah muncul banyak site2 nya di halaman google, pilih salah satu.
  3. nanti akan terbuka sitenya misal sperti ini http://www.target.com/?fbconnect_action=myhome&userid=204 , nha diubah sedikit urlnya menjadi seperti ini http://www.target.com/?fbconnect_action=myhome&fbuserid=204(tambahkan "fb" diantara & dengan userid. paham kan? :)
  4. sekarang scan site tersebut menggunakan havij. bisa juga dengan tool lain,misal sqlmap
  5. jika berhasil inject databasenya pilih tabel admin (bisa berbeda-beda namanya). contohnya http://prntscr.com/qqise
  6. nanti akan ada hasilnya seperti ini http://prntscr.com/qqijg
  7. abis itu tugas kita mereset password admin, caranya seperti inihttp://target.com/wp-login.php?action=rp&key=IgpQL2wiYo1rWSr3zvfD&login=admin . dasarnya adalah wp-login.php?action=rp&key=(activation_key)&login=(username)
  8. nanti akan muncul halaman reset passwordnya. tinggal masukan password barunya dua kali.
  9. sekarang login dengan username dan password yang telah anda buat ( setelah reset berhasil ada tombol loginnya)
  10. selamat, Anda telah mendapatkan akses penuh terhadap system website tersebut. penampakannya seperti ini http://prntscr.com/qqny5

Setelah itu terserah Anda, mau ngapain :) ya pastinya kebanyakan dari kita adalah upload shell. :) ya pokoknya terserah kamu deh, mau ngapain. mau eek juga gak papa :v

Ok, itu saja, semoga bermanfaat. dan mohon koreksinya jika ada yang salah. ditunggu kritik dan sarannya yang membangun dan mempererat tali persaudaraan kita :) :*

tambahan : jika saat scan pada column activation_key gak ada isinya, terlebih dahulu kita lakukan reset dengan memasukkan emailnya, caranya. pergi ke http://sitetargetkamu.com/wp-login.php?action=lostpassword nanti disitu suruh masukkan emailnya, nha masukkan saja email adminnya. klik tombol reset passwordnya, kalau sudah kita scan ulang tabel adminnya. maka sekarang akan ada itu activation_key nya. setelah itu lakukan step no. 7 diatas. :)

Posted in:
Newer Post Older Post Home

3 comments:

This comment has been removed by the author.

Wah Keren gan...,,Kira2 kalo Untuk Bobol Web Ini Gimana Yah...?
http://padamu.siap.web.id/

min ada tutor buat situs pake WP ga?

Post a Comment