Binus Hacker - Independent Hacking Community   Subscribe to BINUS HACKER Subscribe to BINUS HACKERSubscribe to BINUS HACKER FacebookSubscribe to BINUS HACKER Twitter

Cara Deface Website Dengan File Upload

27 February 2012
Penulis:   · Kategori Artikel: Tutorial

BINUS HACKER Binus Hacker Is Not Criminal Banner





Greeting BinusHacker Family Diseluruh Dunia,

Kali ini kami akan berbagi step-by-step detail mengenai cara mendeface website, deface website, cara deface website dengan file upload.

Yang perlu dipersiapkan adalah

  1. Komputer yang terkoneksi ke internet dan kopi
  2. Target website yang memiliki kelamahan
  3. File defacement / halaman deface

Langsung saja ya, kita harus mencari website yang memiliki kelemahan file upload, nanti kita cari saja disini www.exploit-db.com

PEMBUATAN FILE UNTUK DEFACE

Yang pertama harus kita lakukan adalah pembuatan file untuk deface, dibikin seindah mungkin.

BinusHacker Team, akan membuat halaman deface dengan extention .txt, bisa juga dengan file .html, .php, .asp, .shtml, dsb. Tergantung dari kemauan saja.

BinusHacker Team akan membuat halaman deface dengan kata-kata berikut:

BinusHacker Team Was Here

Tutorial Deface By BinusHacker Team – To All BinusHacker Family
*Remember: It’s Just For Educational Purpose!
Ingat! Dengan mendeface tidak akan menjadikan anda hebat :)

Special thanks for www.binushacker.net

Buka notepad, dan kemudian paste kata-kata diatas. Note: Kata-kata bisa sesuka hati sang defacer, tergantung mood :)

Langsung seperti gambar berikut:

Setelah selesai membuat dan merangkai kata yang indah, simpanlah file tersebut, sebagai contoh seperti gambar berikut:

BinusHacker menamakan file defacenya dengan nama: “defaced.txt“, nanti file ini yang akan di upload ke situs target.

Pembuatan halaman deface sudah selesai, lanjut ke step selanjutnya.

PENCARIAN & MENGUMPULKAN INFORMASI KELEMAHAN WEBSITE

Yang harus kita lakukan adalah cari tombol “SEARCH” di website www.exploit-db.com, kemudian klik. Masukkan keyword pencarian “File Upload” sesuai dengan data, contoh di gambar berikut:

Dari hasil search akan muncul banyak pilihan informasi-informasi kelemahan. Semua informasi ini bisa berguna untuk deface dengan cara “File Upload“, hasilnya seperti gambar dibawah:

Dari sekian banyak kelemahan, ambil salah satu kelemahan misalkan “FCKEditor All Version Arbitary Vulnerability“.

Klik informasi kelemahan tersebut, maka akan muncul petunjuk cara penggunaannya, seperti gambar dibawah:

Nah, kita sudah mendapatkan infromasi kelemahan. Maka selanjutnya kita harus mencari website target!

PENCARIAN WEBSITE TARGET DI SEARCH ENGINE

Kita cari website target yang akan dideface di mesin pencari, bisa menggunakan BING, YAHOO, BAIDU, ALLTHEWEB, GOOGLE. Kali ini yang paling mudah saja, gunakan ‘GOOGLE‘!

Bukan google search engine, kemudian masukkan kata kuncinya. Kata kunci didapatkan dari informasi kelemahan yang sebelumnya kita dapatkan, yaitu: “/editor/filemanager/” , kita masukkan kata kunci tersebut.

Cara memasukkanya dengan menggunakan fungsi INURL & SITE. INURL artinya pencarian dilakukan kepada setiap website yang di URL Addressnya mengandung kata “/editor/filemanager/“. SITE artinya pencarian dilakukan kepada domain TLD tertentu, disini kita mencari domain yang akhirannya .COM. Sehingga keywordnya menjadi: inurl: /editor/filemanager/ site: com

Dari hasil pencarian tersebut akan muncul beberapa tampilan website seperti berikut:

Dari hasil tersebut kita sudah mendapatkan informasi website target yaitu: http://www.madhouse1.com

Dengan informasi Situs Target URL lengkapnya: http://www.madhouse1.com/clients/dna/cms/HTMLEditor/

EKSEKUSI UPLOAD FILE UNTUK DEFACE

Oke, dari informasi kelemahan yang sebelumnya kita dapatkan, bahwa kelemahan terdapat di /editor/filemanager/connectors/uploadtest.html

http://www.madhouse1.com/clients/dna/cms/HTMLEditor/ <- Merupakan target dasar yang didapatkan dari google dan belum ditambahkan dengan url untuk file upload.

/editor/filemanager/connectors/uploadtest.html <- Sebagai tambahan di link yang memiliki kelemahan dan digunakan untuk file upload.

Kita gabungkan & masukkan URL webtarget tersebut sehingga menjadi: http://www.madhouse1.com/clients/dna/cms/HTMLEditor/editor/filemanager/connectors/uploadtest.html

Untuk lebih jelas lihat gambar berikut:

Dari sana, kita pilih “Select the File Uploader” dengan “PHP“, dan “To User Resource Type” defaultnya “None” saja.

Lebih jelasnya seperti gambar berikut:

Kemudian pada “Upload New File“, klik “Browse“, nanti akan muncul folder pencarian, dimana akan meminta file untuk di Upload. Carilah file deface yang telah dibuat sebelumnya. Karena sebelumnya sudah disave dengan nama “defaced.txt“, maka kita cari file tersebut untuk di upload. Lihat gambar berikut:

Setelah file terupload, langsung saja klik “Send It To The Server“, proses akan berjalan, nanti akan muncul informasi seperti gambar dibawah:

Jika ada tulisan “File Uploaded With No Errors“, maka anda telah sukses melakukan upload file deface, jika tidak berarti anda gagal.

Informasi terakhir dari halaman deface adalah seperti ini:

Disana akan muncul informasi hasil atau tempat file terupload yaitu /PowerCMS folder/file/defaced.txt

Karena url berada di sana, maka URL hasil deface upload akan berada disini

Domain URL: http://www.madhouse1.com/

Hasil Upload URL: /PowerCMS folder/file/defaced.txt

Gabungkan hasil dari file upload menjadi: http://www.madhouse1.com/PowerCMS folder/file/defaced.txt

Nanti hasilnya akan seperti ini:

Selamat anda sudah berhasil mendeface, sekarang tinggal di upload ke www.zone-h.org / www.indonesiandefacer.org :)

INGAT! Jangan sekali-kali mendeface dengan mengatasnamakan BINUSHACKER.

Cara-cara di atas juga bisa diterapkan di berbagai vulnerability file upload, tinggal ikuti saja aturan main sesuai dengan vulnerability yang ditemukan.

Sebagai latihan, langsung saja menggunakan live target berikut, gunakan sebelum di PATCH!

1. http://www.royzband.com/cms/HTMLEditor/

Berikut adalah tampilan deface BinusHacker di royzband.com

Terima kasih.. Semoga sukses dan semoga berhasil :)

BINUS HACKER Binus Hacker Chat and Forum

Komentar

62 Komentar Untuk “Cara Deface Website Dengan File Upload
Silahkan Berikan Tanggapan Anda Untuk Artikel Ini...

  1. epnx pada 27 February 2012 5:31 am

    hmmm mantep nih tutor nya…
    dicaoba deh,…
    makasih ya binus hacker… :D

  2. Syndicate OS pada 27 February 2012 5:35 am

    Pertamax !!
    makaih banget mastah infonya
    saya coba praktekkan dulu :)

  3. ikbal pada 27 February 2012 5:38 am

    Pertamax,,ms binus insyaallah saya akan cba semoga berhasil,,makasih Ilmunya

    thxs

  4. pribumi_ pada 27 February 2012 6:47 am

    ijin mempelajari …!

  5. blagentaktung pada 27 February 2012 9:36 am

    waaaaaaaaaaaaah… gak ada lagi situs yang mau di deface…

  6. handy pada 27 February 2012 8:05 pm

    klo mw deface web yg saya inginkan gmn caranya????

  7. STRYGWR pada 29 February 2012 2:32 am

    @blagentaktung apaan ga ada lagi..baru kemaren gw coba bisa..sabar za bro carinya.hahhaa

  8. dani santana pada 1 March 2012 11:13 am

    mohon di review ulang mas ketikan nya :) bukan maksud menyalahkan ,, hanya koreksi saja . di postingan anda yang ini

    (/editor/filemanager/uploadtest.html <- Sebagai tambahan di link yang memiliki kelemahan dan digunakan untuk file upload.

    Kita gabungkan & masukkan URL webtarget tersebut sehingga menjadi: http://www.madhouse1.com/clients/dna/cms/HTMLEditor/editor/filemanager/uploadtest.html)

    tanpa tanda kurung , itu salah .. siapapun yang mencoba trik ini pasti kebingungan lah , soal nya posting nya juga agak melenceng ..

    anda posting tambah link ini /editor/filemanager/uploadtest.html di belakang URL .
    namun screenshot anda tidak demikian , karena kenyataan nya anda menambah kan link /editor/filemanager/connectors/uploadtest.html di belakang URL . lihat screenshot nya mas :).

    lalu coba anda lakukan sesuai postingan anda , coba tambah kan link /editor/filemanager/uploadtest.html tanpa [connector] pasti gak bisa upload , link error..

    sekian kritik dari saya :) maaf pabila ada kritik saya yang salah

  9. meylan pada 1 March 2012 10:29 pm

    wah gila di sini di jelasin kurang dari 10 menit udah pada hebat

    saya kuliah 8 semester baru bisa

    nice nice nice

    mungkin 10 taun lagi sekolah itu tidak di butuh kan lagi

  10. UtuH pada 2 March 2012 9:38 am

    Untuk dani santana, terima kasih koreksinya.
    Saya sudah review, evaluasi & edit.. :)

  11. dani santana pada 4 March 2012 8:51 am

    sama sama mas :D

  12. Evillmerpati pada 5 March 2012 2:27 am

    Kayaknya di B|H
    belum ada yang ng share “cara
    devace blogspot ???

    Ada yang tau caranya
    tolong ajarin saya. ,

    by:newbie

  13. Andhika pada 5 March 2012 6:30 am

    terima kasih kk binus tutornya 100 % berhasil ini kk hasilnya

    http://www.royzband.com//cms/files/deface_txt.txt

  14. Bima pada 7 March 2012 11:41 pm

    Keren gan makasih tutornya :)

  15. Bima pada 9 March 2012 3:28 am
  16. Coppermine Photo Gallery – Upload Vulnerability pada 10 March 2012 8:36 pm

    [...] mengupload file nya ? Selanjut nya cari file anda.Sebagai referensi lain bisa ke artikel ini: http://www.binushacker.net/cara-deface-website-dengan-file-upload.htmlPOC nya: http://localhost/Patch/upload.phpLive Target: [...]

  17. JUNDAB pada 13 March 2012 12:17 am

    kalau file html gimana caranya?

  18. KEBO pada 22 March 2012 11:28 pm

    Kalo ekstensi .html kok ga bisa gan?

  19. SevenKiss pada 1 April 2012 8:15 am

    Thankz kk
    :)

  20. TheCloud903 pada 2 April 2012 3:12 am

    mas admin kalo file nya html atau php kok invalid ya…???

  21. fajarnxm pada 2 April 2012 7:55 am

    aku berhasil HORE !. Makasih tutornya mas

  22. Simple Deface OpenCart Website pada 2 April 2012 9:01 am

    [...] simpel ga repot kok gan.Sebelum belajar deface ini, sebaiknya baca ini dulu supaya lebih mengerti: http://www.binushacker.net/cara-deface-website-dengan-file-upload.html, karena artikel ini hampir sama dengan artikel di link tersebut.Oke, langsung aja nih [...]

  23. V-Jryn pada 3 April 2012 7:05 am

    Gaaannn sekarang cari target di Gugel sulit gan … ketemu tutorial dari web web laen malahh gan

    biar gampang gmana ya gan ?

  24. Wrampoi pada 6 April 2012 1:46 am

    kalu situs (go.id) ga make tanda kurung

  25. salman pada 15 April 2012 12:43 am

    wah. mantap gan tutor nya.. udah ane coba dan berhasil..

  26. Zabogar9 pada 15 April 2012 9:37 am

    udah nyoba ribuan kali gabisa”.. harus belajar private nih -_-

  27. papa pada 21 April 2012 6:33 am

    hahahaha, kalo ganti indexnya gimana gan :hammer

  28. ADnan NecrOn Unobtainium pada 5 May 2012 11:11 pm

    Nih gan bisa dah, tpi kok html ga’ bisa ya ???

    http://www.royzband.com/cms/files/imageshackbyadnan.gif

    hehehee newbie gan, pake .gif dulu dah…

  29. kitzuke pada 7 May 2012 6:36 pm

    gan, kalo situsnya kita yang nentuin cara defacenya gimana……

  30. Bejo pada 30 May 2012 2:14 pm

    Ane nyoba belajar gan… Tengkyu

  31. Bejo pada 30 May 2012 2:32 pm

    Tengkyu gan, berhasil ane..

  32. reeep pada 31 May 2012 10:21 am

    ngk bisa gan pas gabungin file upload nya… gmn gan??

  33. reeep pada 31 May 2012 11:13 am

    maaf saya sudah berhasil .,
    erorr..
    tapi kok hasil deface saya ngk bisa dibuka., setelah pesan eror ada dapat pesan gtu.. gmn slanjut nya mas??

  34. reeep pada 31 May 2012 11:43 am

    saaaayyyaa beerrhaassiill.. !!

    makasi tutor nya mas.. mmmaaanntap

    http://www.romaniukheatingac.com/asik.txt

  35. irul pada 23 June 2012 5:01 am

    aku punya kok g bisa y???
    setelah d klik “Send in to the Server” , g da respon apa2..

  36. irul pada 23 June 2012 5:57 am

    uda bisa punya saya.
    ternyata JavaScript d Enable kan dl..

    Thansk Binushacker.net

    by: newbie

  37. Aldeo Cool pada 27 June 2012 9:36 am
  38. Simple Deface OpenCart Website | G.Inc pada 2 August 2012 4:38 am

    [...] belajar deface ini, sebaiknya baca ini dulu supaya lebih mengerti: http://www.binushacker.net/cara-deface-website-dengan-file-upload.html, karena artikel ini hampir sama dengan artikel di link [...]

  39. lancercius pada 11 September 2012 7:02 am

    mas, kalo websitenya udah dideface, trus cara biar ada backssoundnya gimana???

  40. komang pada 17 September 2012 1:31 am

    saya punya usaha yg telah saya buatkan blog sbagai tempat iklannya.nah tuh orang yg sirik ama saya bikin blog serupa dengan saya dan memakai indentitas saya dimana isi blog tersebut berisi fitnah yg menjatuhkan usaha saya.intinya mencemarkan nama baik usaha saya.saya udah lapor polisi namun tindakannya masih gak jelas soalnya sulit dilacak meski saya tau persis orangnya tapi bukti dunia maya sulit jadi bahan kepolisian untuk menjerat hukum.nah maksud saya disini bisakah team binushacker men-deface blog tersebut.klo bisa bagaimana ketentuan syaratnya. mohon hubungi saya di facebook email tersebut

  41. Cheat Point Blank pada 19 September 2012 8:16 am

    buat nebie kayak saya ribet juga ya sob :D

  42. Anonymous pada 25 September 2012 3:48 am

    http://www.ozma-nechasim.co.il//data/images/20436_qutote_anonymous.jpg

    akhirnya udh nyari” ketemu juga cara deface yg gampang

  43. toni pada 28 September 2012 12:50 am

    bang admin itu kn masih di
    http://www.madhouse1.com/PowerCMS folder/file nya,
    dan di http://www.madhouse1.com ndk ad perubahan..
    kalau lang sung mengarah ke index nya gie mana..

    TQ.

  44. edi pada 1 October 2012 6:22 am

    kalo situsnya kita yang tentuin bisa ngga

  45. tama pada 7 October 2012 12:20 am
  46. Bomber88 pada 20 October 2012 4:55 pm

    terima kasih master2……..dari sekian lama saya nyari2 tutor pembelajaran deface, dari sini doank saya yg berhasil……..
    terima kasih BINUS HACKER….
    JAYA SELALU………..

  47. CyberOtoritarian pada 16 November 2012 2:03 am

    Kalo deface blog yg udah kita tentuin gimana om,, ?

  48. MSTyle pada 18 November 2012 7:56 pm

    kalo hacking via file upload gini, tingkat kemanannya gimana min?
    apa perlu pake IP hide or lain2nya? atau bisa lgsg eksekusi aja?
    -Thx

  49. koplak pada 19 November 2012 7:28 pm

    gw bisaaaaaa

  50. ZakyJakray99 pada 30 December 2012 1:17 am

    Tutorialnya ane coba dulu gan, izin mempelajari :D

  51. agung pada 29 January 2013 6:37 pm

    gagal gan…
    puyeng nih,,

    pake video enak kali ya, hehe

  52. David pada 2 March 2013 6:20 pm

    Cara liat kelemahannya gimana???

  53. Heka Ardian pada 12 March 2013 7:01 pm

    sumpah, baru kali ini ada yang mau menjelaskan beserta gambar demostrasinya karena kebanyakan yg saya temui tutor seperti ini hanya menggunakan bahasa yang telah di pahami oleh dewa.. makasih atas tutornya sangat bermanfaat.

  54. Simple Deface OpenCart Website | randalltux pada 26 March 2013 3:36 am

    [...] ga repot kok gan. Sebelum belajar deface ini, sebaiknya baca ini dulu supaya lebih mengerti: http://www.binushacker.net/cara-deface-website-dengan-file-upload.html, karena artikel ini hampir sama dengan artikel di link tersebut. Oke, langsung aja nih caranya [...]

  55. anonim pada 20 May 2013 12:55 pm

    nih ada website sekolah gak tembus deface gan, coba aja

    http://www.sman1sangattautara.sch.id

  56. Alfaris pada 7 August 2013 1:18 am

    Klo pake file html bisa gk deface

  57. cahalasjowo pada 22 August 2013 12:36 am

    upload ke http://www.zone-h.org gimana si??tolong pencerahanya master!

  58. ondi pada 22 August 2013 1:14 am

    bro,kl kelemahannya selain di /editor/filemanager/ bisa?
    saya nyari engga ada yg sama kaya di tutorial ,thanks

  59. Dave pada 4 November 2013 6:19 am

    gan gmn cara upload nya ??

  60. Mr.Bee87 pada 22 November 2013 3:26 am

    ini bukan deface…ini cuma nanem file doang….tetapi tidak sampai halaman utama stus……….

  61. Karuna megan pada 13 March 2014 11:04 pm

    Tengkyu Om :)

  62. MR.X pada 12 April 2014 2:17 am

    uploadnya eror mulu gans

  63. Applcad Indonesia pada 3 June 2014 8:43 pm

    good articel!!

  64. udin pada 31 July 2014 7:22 pm

    Mastahh… Saya pake cara ini bwt deface google kok ga bisa mastah ???
    Saya pengen deface google ajah lalu saya pasang deh foto saya
    biar jadi terkenal :P

  65. dora pada 31 July 2014 8:11 pm

    HORE … BERHASIL BERHASIL BERHASIL HORE
    BERHASIL BERHASIL BERHASIL HORE
    >:D

  66. admin binus pada 1 August 2014 12:01 am

    @Mr.Bee87, anda jangan sembarangan menyebut teknik ini sebagai teknik nanem file, ingat, ini bukan singkong !!! ini teknik hacking !!!

  67. Oktavian Prangga pada 3 August 2014 5:01 am

    , jadi ini deface’nya gak ke indexnya om ??

  68. Sebut saja ariel noah pada 8 August 2014 4:51 am

    Gan kalo url nya kita yg tentuin setelah di deface gimana ?

Silahkan Berikan Tanggapan Anda...