Rabu, 12 Juni 2013

Cara Upload Shell Dengan Tamper Data



# Intro 

Cara Upload Shell Dengan Temper Data Dengan Ala Chef Germy X-Forty Langsung Aja Ke TKP ...

# Alat dan bahan

0. Kemauan ingin tahu(paling penting)
1. Firefox
2. Add ons tamper data bisa di download di sini
3. Web target tentunya (kalau mau main aman bisa di test di localhost) :)
4. Cemilan dan kesabaraaaaaann (ini yang sulit)

# Proof of consept

Untuk bisa mengupload shell dengan tamper data, sebelumnya kita harus menemukan halaman yang memiliki Fitur Upload gambar atau sebagianya. Apabila kita sudah mendapatkan akses admin ke sebuah website (caranya terserah kalian), biasanya ada halaman untuk upload gambar ke server, nahh apabila server tidak melakukan filtering pada kode-kode jahat, maka kita bisa melakukan manipulai file dengan tamper data untuk mengUpload php shell. Selain melalui halaman admin, uploading juga bisa dilakukan dari user biasa dimana terdapat fitur untuk upload atau pun dari "guest" dimana ada fitur upload. Intinya adalah adanya fitur untuk upload dan tidak adanya Filtering kode-kode jahat oleh server.


Untuk mengupload PHP Shell ini kita biasanya mencari fasilitas upload file.php , nah yang jadi pertanyaan kalau web target hanya mendukung file.jpg untuk di upload gimana ? Nah itu yang akan saya sharing tekhniknya. Tahap-tahapnya seperti berikut ini. Tapi dengan catatan anda telah menguasai website target dengan tekhnik : sql injection , LFI / RFI , atau exploit.

1. Siapkan dulu file shell.php seperti : Gx173, atau lainya cari aja di google banyak :D
2. Rename dengan nama : shell.php.jpg
3. Install add ons Tamper Data dulu di browser mozilla kita, Download disini :D
4. Restart dan kita mulai upload
5. Cari fasilitas uploads gambar pada website target, kemudian tamper data kita jalankan



6. Trus Uploads shell.php.jpg kita dan tamper :D


7. Setelah langsung jalankan tamper datanya, tunggu pop out dari tamper data muncul , cari file shell.php.jpg dan rename path shell.php.jpg menjadi shell.php ! ingat yah :D


Sekarang anda tinggal cari dimana file shell anda berada .
Dan buka path shell.php anda di url browser dan siap meluncur ke TKP. Tapi inget, gak semua web target bisa kita lakukan dengan tekhnik ini .Kalau gak berhasil , silahkan hubungi adminnya aja langsung

Oke dah Gitu Aja Dari Germy X-Forty

1 komentar:

  1. gak jelas om..
    gimn caa keluarinn tamper data nya,,dan gimn ngrename nya,,,

    BalasHapus