Saturday, 17 September 2016

Bypassing Connection Reset while Uploading Shell on OJS Xploit

Selamat Malam gaannnnn, di malem minggu yang suram karena disini hujan :v gua hadir lagi ngasih tutor yang bermanfaat nih buat kalian para defacer.
daripada pacaran :v mending kesini gannn :p

Oke gausah banyak bacot , kita langsung aja ke tutorial :D
Sesuai judul postingan ini, kalian para defacer khususnya para OJS (Open Journal System) Hunter pasti pernah ngalamin hal ini kan?
Disini gua akan bahas tutorial bypassnya gann :D
Simak Baik-baik :D

1. Siapin Live Target kalian, disini gua udah dapet Live Targetnya dan siap-siap untuk upload shell (.phtml) ekstensinya.


Lalu disini gua lansung upload aja shell nya....

Tapi, liat apa yang terjadi setelah gua upload! .........

BOOM~ wwkkwkw ternyata, Connection Reset. gua kira ini emang koneksi gua awalnya yang agak ngadat (padahal koneksi lancar)
Nahh, iseng" gua nyoba (karena gua ga cek-cek google dulu pas pgn cari bypass cara upload shellnya) . Disini gua coba bypass dengan tamper data.
Dan ........
Akhirnya berhasil gannnn.

2. Step ke 2, kita mulai tutor bypass nya.
=> Siapin Shell kalian dengan ekstensi .cer (contoh: shell_kalian.cer)

=> Aktifkan Add-Ons "Tamper Data" nya dengan Klik "Start Tamper".

=> Klik "Upload"" untuk upload shell kalian.
Nah, dibagian ini, kalian akan melihat "pop-up window" dari Tamper Datanya, Klik "Tamper".

=> Setelah itu, kalian akan melihat Pop-up Request Parameter, dan Post Parameter dari Tamper datanya.
pada bagian ini, kalian lihat pada bagian box di kanan (post parameter), cari lah nama file kalian disana dan edit lah bagian itu menjadi (shell_kalian.cer.phtml)

=> Lalu, Klik "OK".
=> Dan....... BOOM !!!!! Lihat ? Sukses Terupload dengan eksetensi .phtml, padahal jika kita upload polosan tanpa bypass , ektensi .phtml akan menghasilkan "Connection Reset" seperti pada awal masalah kita :D.

3. Selanjutnya, untuk menemukan Shell Backdoor Kalian, IndoXploit sudah Menyiapkan Tools untuk memudahkan kalian mencari Shell Backdoor yang kalian upload Khusus untuk exploit OJS ini.
LINK TOOLS: http://pastebin.com/r4k1cPs8
=> Jalankan di Terminal/CMD
usage: php namafile.php http://target-ojs.com/ nama-shell-kalian.phtml

Tunggu dan Lihat Hasilnyaa....... :D

Okee sekian dulu gaysss, semoga tutornya bermanfaat :D
Silakan Sumber jika ingin copas :D

Tutorial by: Mr. Error 404
Greetz: IndoXploit - Sanjungan Jiwa

1 comment: