Selasa, 04 September 2018

Hack Ojs: Salah Satu Lubang Untuk Terjadinya Deface Website Ojs.



Step by Step :
1. Dorking, sudah tahu belum?
inurl: seperti namanya, inurl berarti “di url” atau “dalam url” gunanya untuk mencari website yang di url-nya terdapat suatu string atau kata yang kita masukkan. Contoh: inurl:.ojs maka yang akan muncul yaitu site-site yang di urlnya mengandung “.ojs” Sedangkan saudaranya inurl yaitu “allinurl:”, maksudnya command tersebut dipakai untuk mencari keseluruhan nama domain website yang telah kita input/tentukan
intitle: menyerupai namanya, intitle berarti “di judul” atau “dalam judul” fungsinya untuk mencari site yang artikelnya memuat judul sesuai yang kita inginkian. Contohnya di sini aku bikin dork intitle:”jurnal” karenanya site yang judul postnya mengandung kata “jurnal” muncul. Intitle juga ada kata kunci lain menyerupai inurl, yaitu “allintext:” namun command tersebut tidak terlalu kuat terhadap hasil pencarian, malah berdasarkan aku menggunakan “intext:” lebih menguntungkan.
intext: nah kalau yang satu ini sifatnya lebih universal(umum) perintah ini sendiri artinya “di teks” atau “dalam teks” jadi, bila contohnya kita memasukkan dork intext:”ilmiah” di kotak pencarian google maka yang muncul yaitu site yang mengandung kata “ilmiah” entah itu di url, judul, dll. Pokoknya semua yang mengandung kata “ilmiah” ditampilkan.
filetype: berarti “tipe file” kalo yang ini biasanya jarang dipake untuk heking-hekingan alasannya yaitu biasanya perintah ini buat donlot/nyari file dengan lebih spesifik sesuai kebutuhan kita menyerupai kalau kita sedang mencari lagu/ebook(nanti aku jelaskan di bawah) dan disini aku ambil teladan intext:”hacking” filetype:pdf maka hasil yang keluar yaitu sekumpulan file pdf siap donlot dan alasannya yaitu aku kasih intext:”hacking” maka munculnya yang mengandung kata-kata/bertopik perihal “hacking”.
site: kalau yang ini berfungsi untuk mencari (Country domain) site yang kita tentukan, perintah ini juga sering dipakai sama heker untuk nentuin site negara mana yang pengen beliau bobol dengan memasukan domain negaranya. Misalnya anda mau belanja online di webshop amerika maka dork yang harus anda buat kurang lebih menyerupai ini intext:”jurnal” site:.ac.id maka yang tampil akan menyerupai ini.
link: perintah ini gunanya mencari keseluruhan link yang berada dalam satu website. 
2. Kalo udah pilih target, mending cek dlu vuln apa ngga nya, kalo ane cara ngecek nya cuma nambahin /files/journals/ di belakang url target, Contoh : www.targetojs.com/files/journals/ kalo Not Found atau forbidden tinggalin aja
3. Setelah nomor 2. kalian balik lagi ke halaman register.
4. Register asalan ya.
5. Setelah akibat daftar, calon pemudik, klik New Submission 
6. Step ke2 gres sanggup upload shell
7. Akses shell yaitu hal paling ribet, klo kalian kaga cepet paham.
www.targetojs.com/files/journals/1/articles/[iduser]/submission/original/[nama file].phtml
238 yaitu id user dan 238-22-1-SM.phtml yaitu file nya.
angka 1 itu juga gak tentu, kadang ada di 2,3,4 atau yg lain, tergantung usernya

ingat!! aku sama sekali tidak bermaksud mengajarkan tindak kejahatan, hanya untuk sharing pengetahuan dan antisipasi saja. 😅

Tidak ada komentar:

Posting Komentar