Tutorial ini untuk membantu bagi yang sudah berhasil login sebagai admin pada situs dengan CMS Wordpress untuk menanam shell kedalam web tersebut dan menebas indexnya.
Pada artikel ini saya buat tutorial upload shell dengan memanfaatkan fitur upload themes pada wordpress. Dimana ketika kita memiliki sebuah themes, kita sisipi sebuah shell kemudian diupload ke web wordpress tadi. Setelah itu shellnya dapat dijalankan J
Oke, pertama silahkan cari themes wordpress dulu di google ada banyak koq dan gratis juga. Hhehe.
Kedua, siapkan shellnya. Bisa di download disini http://www.mediafire.com/download/80xv72w32iar15o/madspot.php
Tampilan Dashboard admin pada situs wordpress.
Misal disini saya pakai themes wordpress yang namanya “solvair-1.2”. Setelah themesnya di download, sekarang extract filenya. Caranya, klik kanan kemudian Extract Here.
Mask ke folder hasil extract tadi dan masukkan shell ke dalam folder images. Seperti gambar dibawah ini.
Sekarang shellnya udah masuk jadi satu sama themes, sekarang kita kemas lagi jadi satu. Klik kanan folder themesnya, kemudian klik Add to archive…
Checklist pada menu ZIP, kemudian tekan OK seperti gambar dibawah ini.
Sekarang masuk ke dashboard wordpress. Arahkan kursor pada menu Appearance di sebelah kiri, kemudian klik Themes.
Klik menu Install Themes.
Klik menu Upload seperti gambar dibawah ini.
Klik browse…
Cari themes yang udah disisipi shell tadi, kemudian klik Open.
Tunggu sampai loading selesai seperti dibawah ini, kemudian aktifkan themesnya dengan cara klik Active.
Sekarang lihat webnya, themesnya udah ganti tuh. Sekarang tekan CTRL + U.
Copy ke address bar, kemudian tambahakan URLnya dengan letak shell tadi di folder images. http://localhost/worpress/wp-content/themes/solvair/images/shell.php seperti gambar dibawah ini.
Dan sekarang lihat hasilnya :D
Sekarang kita tebas indexnya. Cari file index.php yang 1 tempat dengan file – file dan folder pada gambar dibawah ini. (ada wp-admin, wp-content, dll).
Arahkan kursor pada index.php dan klik icon huruf E di sebelah kiri. E disini berarti Edit.
Ubah scriptnya dengan script deface agan. Setelah selesai, tekan tombol >> seperti gambar dibawah ini untuk perintah Save.
Sekarang lihat webnya. Wkwkwk, berhasil kan J
Ingat: teknik ini hanya dapat dilakukan ketika kita sudah mengetahui password admin untuk login ke webnya. Untuk mengetahuinya bisa menggunkan teknik config, wp bruteforce, dll.
Work ^_^
ReplyDelete