• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar

LinuxSec Exploit

Nothing is Ever Locked

  • XSS Payloads
  • About Us

Tumblr Custom Domain or Subdomain Takeover

September 24, 2018 by Jack Wilder 2 Comments

Tumblr Domain or Subdomain Takeover –  Oke selanjutnya kita bahas mengenai takeover custom domain untuk blog Tumblr. Untuk menggunakan custom domain di Tumblr kita diharuskan untuk menambahkan A record yang mengarah ke 66.6.44.4 jika yang digunakan adalah domain utama. Contohnya situsku.com. Atau menambahkan CNAME jika custom domain Tumblr berada di subdomain misalnya blog.situsku.com maka CNAME nya adalah subdomain tumblr yang kalian punya contohnya situsku.tumblr.com. 

Nah ada kalanya seseorang yang sebelumnya menghosting blognya di Tumblr menghapus akun atau blog Tumblr nya namun tidak menghapus A record atau CNAME di domain manager. Alhasil, domain atau subdomain kustom tersebut bisa kita takeover. DI contoh ini saya ambil adalah situs www.leifroswold.com. Saat diakses menampilkan halaman error yang menandakan blog tidak ditemukan.

[email protected]:~$ curl -I www.leifroswold.com
HTTP/1.1 404 Not Found
Server: openresty
Date: Mon, 24 Sep 2018 15:14:30 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
Vary: Accept-Encoding
Vary: Accept-Encoding
X-Rid: 57de79ef9b33ae549a1795eecfd68570
P3p: CP="Tumblr's privacy policy is available here: https://www.tumblr.com/policy/en/privacy"
...

Oke kita cek dengan dig untuk melihat username tumblr yang sebelumnya dia pakai.

[email protected]:~$ dig www.leifroswold.com
.....
;; ANSWER SECTION:
www.leifroswold.com.    942     IN      A       66.6.44.4

Hmm, nampaknya memang ada kesalahan konfigurasi dimana seharusnya ia memasukkan CNAME tapi malah menambahkan A record. Ok, lucky. Sekarang masuk ke pengaturan blog Tumblr milik kalian. Lalu ubah domainnya.

Karena memang ada kesalahan dimana tidak ada CNAME record yang dibuat, maka kita bebas menggunakan subdomain tumblr dengan username apa saja. Tinggal tambahkan domain yang ingin ditakeover. Lalu save.

Lalu cek www.leifroswold.com sekarang.

Done.

Filed Under: Domain Takeover, Web Hacking

Reader Interactions

Comments

  1. sicantik says

    February 11, 2019 at 6:23 pm

    Dork Ada Kagak Bang ?
    Atau Videolah ?

    Reply
  2. sicantik Sicantik says

    March 1, 2019 at 3:54 pm

    Aku Harus Berterima Kasih Kepadamu Min
    Berkat Kamu Aku Bisa Spam Zone-H hahaha :V

    Reply

Leave a Reply Cancel reply

Your email address will not be published. Required fields are marked *

Primary Sidebar

Popular Post

Deface dengan Metode Timthumb Remote Code Execution

Tool Deface Opencart Bruteforce and Upload Image

Surge.sh Custom Domain or Subdomain Takeover

Readme.io Custom Domain or Subdomain Takeover

Exploit Drupal Core 7.x Auto SQL Injection dan Upload Shell

Deface WordPress dengan Exploit WordPress TheLoft Theme Arbitrary File Download Vulnerability

WordPress Fraction Theme Version 1.1.1 Privilege Escalation

Tutorial Hack WHM dan cPanel dengan WHMCS Killer

WordPress Plugin CopySafe PDF Protection Shell Upload

Cara Mudah Hack cPanel dengan Fitur Reset Password

LinuxSec / 13 queries in 0.10 seconds