Tuesday, March 5, 2013
10:30 AM

Cara Deface Dengan Teknik Exploit Joomla | Com_User

Assalamualaikum....

ehm,, jumpa lagi nih dengan coretan2 semerawut ane tapi ngangenin untuk dibaca,, wkkwkwk yo dah, dah pasti pada ga sabar kan udah nunggu dari kemaren?? wkwkwk langsung daaahh :p


Silahkan tutorial ini di baca dulu baik2, dipahami dan dipelajari, baru dah sobat praktekin :p kalo seandainya gagal, itu karena website udah di patch :p

"Talk Less Do More!" :p

oke dah simak nih! sebelumnya download dulu bahan2nya :p

1. Download : Exploit Joomla.html    Password: Lihat

2. Titip Nama : Indonesian Cyber Army

UPDATE:

Ciri2 web yg vuln com_user, silahkan sobat check dulu login adminnya, jika seperti gambar dibawah, berarti web tersebut memungkinkan untuk bisa di exploitasi, selain itu tidak bisa...

Contoh :
http://troytradingint.com.pe/administrator/

bira lebih memudahkan sobat dalam mencari web target, silahkan gunakan Tool Scanner Com User

Demo:
http://troytradingint.com.pe/
http://www.uog.edu.pk/
http://www.trexperts.com/jeffreytmiller/

Note: "Tidak semua website bisa dengan teknik ini, harap selalu mencari dan mencoba! karena dalam dunia Hacking tidak ada yg instants dan bisa berhasil dengan mudah! Mereka yg berhasil adalah mereka yg selalu sabar berusaha dan terus mencoba!"

Langkah Langkah::

1. Cari web target di Google.com dengan memasukkan Dork berikut:

intext:Joomla! is a flexible and powerful platform, whether you are building a small site for yourself or a huge site with hundreds of thousands of visitors site:com

#Dork Lain:
inurl:index.php/­using-joomla/­extensions/plugins
inurl:index.php/­using/joomla
inurl:index.php/­using-joomla/­extensions/­components/­content-component/­article-category-list­/50-upgraders
inurl:index.php/­using-joomla/­extensions/­components/­content-component/­article-categories/­28-park-site/­photo-gallery
inurl:index.php/­using-joomla/­parameters/­26-sample-data-articl­es/park-
Inurl:index.php/­plugins
Inurl:index.php/­rss=feed
inurl:index.php/­joomla/content/­category-blog/­24-joomla
inurl:index.php/­using-joomla/­extensions/­components/­content-component/­article-categories/­84-gd-articles
inurl:Home Page Beez joomla 1.6 index.php using-joomla
inurl:index.php joomla! 1.7 - open source content management
inurl:index.php/­using-joomla/­extension/components/­content-component/­article-category-list­/50-upgraders intext:joomla! 1.7 - open source content management
inurl:index.php/­19-sample-data-articl­es/joomla/­50-upgraders site:id inurl:index.php/­using-joomla/­extensions/templates/­beez-2/­home-page-beez-2
inurl:index.php/­19-sample-data-articl­es/joomla
inurl:Home Page Beez5 joomla 1.6 index.php/­using-joomla/­extensions/­components/­users-component/­registration-form

2. Pilih target sobat, lalu masukin exploit berikut:

index.php?option=com_users&view=registration

3. Ane disini mengambil contoh:

http://mobile.resto-lincontournable.com/index.php/utiliser-joomla/utiliser-extensions/composants/composant-flux-rss/un-flux-rss

4. kemudian ane ganti menjadi:

http://mobile.resto-lincontournable.com/index.php?option=com_users&view=registration


5. Setelah itu klik kanan>klik View Page Source atau bisa juga tekan tombol keyboard CTRL+U

kalo sudah muncul page sourcenya, lalu tekan tombol CTRL+F atau klik menu Find ketik hidden. cari seperti kode berikut:


6. Copy kode tersebut, lalu buka Exploit Joomla.html yang udah sobat download tadi dengan Notepad, lalu pastekan kode tersebut, dan masukkan juga site target dan Email sobat! liat gambar !

Note: username, email, boleh diganti sesuka hati.

7. Lalu Save! Setelah itu buka file Exploit Joomla.html nya, Klik Register!

8. Setelah itu akan muncul peringatan bahwa password harus diisi sama! Masukkan password sobat!


9. Setelah password diisi, klik Register! lalu buka email sobat dan klik link Konfirmasinya!







10. Lalu masuk kehalaman admin login nya! 

http://mobile.resto-lincontournable.com/administrator

11. Masukkan Username & Passwordnya! lalu klik Login! kalo contoh disini:

Username:genesis
Password:onix

Tararaaaaaaaaaaaaaa!! Sobat masuk sebagai admin! trus tebas deh index nya :p Liat Cara Tebas Index

KALO GA BERHASIL LOGIN SEBAGAI ADMIN, SILAHKAN CARI TARGET LAINNYA!!


Goodluck!!! :p

udah gitu aja! Salam........ :p

Jika ada masalah seputar tutorial yg ada disini sobat bisa tanyakan dan diskusikan di forum kami http://forum.idca.or.id/

Content Created By Onix AQua

tag : exploit joomla, deface dengan exploit, cara deface mudah , tutorial deface newbie

165 komentar:

  1. Letak Indexnya Dimana Bang Onix

    ReplyDelete
    Replies
    1. di themes nya... edit main page...

      Delete
    2. bang ane kok gak bisa masuk...?
      mohon pencerahannya

      Delete
    3. bang kok mau masuk joomla nya kena mercusuar??

      Delete
    4. gan ane cba login admin nya data not found omm gmn tu.?

      Delete
  2. Ane malahan ga bisa login ke Administratornya
    zzz
    padahal udah ngelakuin semuanya

    ReplyDelete
  3. ralat :
    "kalo sudah muncul page sourcenya, lalu tekan tombol CTRL+F atau klik menu Find. cari kode berikut:"

    tidak semua kode tersebut sama :)

    ReplyDelete
  4. nyariknya di bagian mana sih om onix

    ReplyDelete
  5. bang,..pas nyari kodenya kok gak ada???

    ReplyDelete
  6. Mantaaap Nihh Tutor Gwe !! kowkowkwokwowkowkok

    ReplyDelete
  7. gan, barusan ane udah nyelesaiin step sampe buka email, pas masuk ke log admin kok fail gan

    ReplyDelete
    Replies
    1. om ko pas nyari kodemya gak ada yah kenapa om..?

      Delete
  8. gan. ane udah nyampe. tapi gatau letak indexnya dimana .??

    ReplyDelete
    Replies
    1. baca ini sob =))

      http://indocyberarmy.blogspot.com/2013/03/cara-tebas-index-website-cms-joomla.html

      Delete
  9. bang onix gw mau nanya gw udah berhasil registrasi
    tapi kok setelah gw login ke administatornya kok kga bisa ya ?

    ReplyDelete
    Replies
    1. klo ga brhasil brarti ga bsa :3
      cari trget lain..

      Delete
  10. Replies
    1. sama sama kang, trmakasih sudah berkunjung :)

      Delete
  11. Your session Has Expired. please Log in Again -_-

    ReplyDelete
    Replies
    1. Tidak semua website bisa dengan teknik ini, harap selalu mencari dan mencoba! karena dalam dunia Hacking tidak ada yg instants dan bisa berhasil dengan mudah! Mereka yg berhasil adalah mereka yg selalu sabar berusaha dan terus mencoba!

      Delete
  12. "You can not access the site administration."

    bang

    ReplyDelete
    Replies
    1. Tidak semua website bisa dengan teknik ini, harap selalu mencari dan mencoba! karena dalam dunia Hacking tidak ada yg instants dan bisa berhasil dengan mudah! Mereka yg berhasil adalah mereka yg selalu sabar berusaha dan terus mencoba!

      Delete

  13. You do not have access to the administrator section of this site.

    -,- -,- -,- -,-

    ReplyDelete
    Replies
    1. Tidak semua website bisa dengan teknik ini, harap selalu mencari dan mencoba! karena dalam dunia Hacking tidak ada yg instants dan bisa berhasil dengan mudah! Mereka yg berhasil adalah mereka yg selalu sabar berusaha dan terus mencoba!

      Delete
  14. gak ada yang bisa

    ReplyDelete
    Replies
    1. Tidak semua website bisa dengan teknik ini, harap selalu mencari dan mencoba! karena dalam dunia Hacking tidak ada yg instants dan bisa berhasil dengan mudah! Mereka yg berhasil adalah mereka yg selalu sabar berusaha dan terus mencoba!

      Delete
  15. bro gimana tebasnya imdex'a dari tadi gx bisa di save mulu

    ReplyDelete
    Replies
    1. itu tandanya website udah di protect, chmod udah diubah jadi gak bisa ganti langsung dari joomlanya :)

      Delete
  16. Tidak semua website bisa dengan teknik ini, harap selalu mencari dan mencoba! karena dalam dunia Hacking tidak ada yg instants dan bisa berhasil dengan mudah! Mereka yg berhasil adalah mereka yg selalu sabar berusaha dan terus mencoba!

    ReplyDelete
  17. kok kg bisa login di admin nye??
    cmn bs login sbg user biasa,, pencerahan pls

    ReplyDelete
    Replies
    1. Tidak semua website bisa dengan teknik ini, harap selalu mencari dan mencoba! karena dalam dunia Hacking tidak ada yg instants dan bisa berhasil dengan mudah! Mereka yg berhasil adalah mereka yg selalu sabar berusaha dan terus mencoba!

      Delete
  18. Aku mengawasimu.......

    ReplyDelete
    Replies
    1. Hajiahh? Pengawas ujian Nasional Terseat?? :D

      Delete
  19. Om, setiap mau ganti file index.php, gak bisa2, mohon pencerahannya , walaupun udah di convert dari html ke php juga tetep gak bisa, thanks.

    ReplyDelete
  20. cara backup gimana om?

    ReplyDelete
  21. mimin yg terganteng, versi jooomla brp yg bisa make cara ini ??

    ReplyDelete
  22. kok gue ngk bisa masukin passwordnya...
    padahal passowrdnya sama...

    emangnya pake passowrd apaan sih???

    passowrd gmail kan....

    ReplyDelete
  23. kok ane udah lakuin tuh step by step, tapi ga bisa juga login adminnya !
    mohon pencerahannya....

    ReplyDelete
  24. Mas Onix gimana cara upload shell di Joomla v 1.7.3



    mohon bantuannya om,.....

    ReplyDelete
  25. Kok ane value nya 0 ?

    ReplyDelete
  26. om onix itu pas register user sama username nya bisa nama lain kan ??

    ReplyDelete
  27. Ane udah coba gan, & udah dapet link konfirmasi lewat email, berikut username & password. Tapi waktu ane masuk ke administrator dgn username & password tsb, kok ga bisa ya? tulisannya:
    You do not have access to the administrator section of this site.

    gimana gan?

    ReplyDelete
    Replies
    1. Tidak semua website bisa dengan teknik ini, harap selalu mencari dan mencoba! karena dalam dunia Hacking tidak ada yg instants dan bisa berhasil dengan mudah! Mereka yg berhasil adalah mereka yg selalu sabar berusaha dan terus mencoba!

      Delete
  28. This comment has been removed by the author.

    ReplyDelete
  29. jika ada kata kunci "Cara Deface Blog" di google, berarti juga ada kata kunci "Mencegah dan Melindungi Blog Dari Deface"

    jaku kamu jago coding kenapa tidak mencoba membangun style blog sendiri???kenapa malah menggunakan template dari orang lain????


    #loeemangmastercoding :-)

    ReplyDelete
    Replies
    1. siapa yang bilang jago coding kaka H4x0r :>)

      Delete
  30. BANG ONIX pas aku jadi admin kok g buat nebas index ya cmn ada view site sama log out :((

    ReplyDelete
  31. hahahha...teryata trik ini hanya untuk register sebagai user baru doang. coba aja perhatikan pesan yang muncul setelah klik konfirmasi email dan didirect ke form login, berikut pesannya:

    Your Account has been successfully activated. You can now log in using the username and password you chose during the registration.

    jadi kita gak bakalan bisa masuk sebagai admin, toh kita registernya sebagai user baru. tapi thank's deh to admin yang udah share, lumayan nambah pengetahuan

    ReplyDelete
    Replies
    1. wkwkwkkw,, jangan sok tau :p udah ratusan orang make cara ini dan udah ratusan web yg didepes, :p

      yg namanya web klo ada bugsnya pasti langsung diperbaiki ma adminnya, nah exploit ini udah lama dan rata2 web yg menggunakan componen ini sudah diperbaharui lgi, makanya kagak bisa digunakan:p tapi beberapa web masih bisa, klo dork nya dikembangin :p

      Delete
  32. kok gini ? "You do not have access to the administrator section of this site."

    ReplyDelete
  33. invalid token
    kenapa yah??jiahh
    https://lh5.googleusercontent.com/-VKGWq-wPGUw/T2WEaEQLA9I/AAAAAAAACa4/ZDnLP29mlgk/s36/14.gif

    ReplyDelete
  34. padahal udah sepuluh website di coba regietrasi berhasil semua tpi pas masuk ke adminnya lginnya malah adatulisa user ama pasnya salah asemmm gimna tu min

    ReplyDelete
  35. Adminnya berhasil nipu banyak orang nih kayaknya ;-(
    Selamat deh min ;-( (h) (h)

    ReplyDelete
  36. This comment has been removed by the author.

    ReplyDelete
  37. bang onix,

    kan saya udah masukin email saya, tapi udah2 email berbeda masih enggak ada notice konfirmasi reset password, itu kenapa ?

    ReplyDelete
  38. kwowokw ngakak ni ngakak =))
    coba lu lu semua perhatikan Exploitnya isinya apa jangan asal main isi" aja kwowokw 8-)
    masih banyak aja orang .... di dunia ini :-)

    ReplyDelete
  39. ciye ciyee.. nice post min. gw udah dpt banyak, kalo di itung sih ada 500an dengan puluhan whm dan ribuan cpanel.. makasih mimin :* (k) x-)

    ReplyDelete
  40. gak masuk ke email????
    ;((
    ;((
    ;((
    ;((
    ;((
    ;(( ;((

    ReplyDelete
  41. kasih dork yang ampuh buat cari joomla dong.....

    ReplyDelete
  42. itu login sebagai user bang -_-

    kalo biar jadi adminya gimana?

    ReplyDelete
  43. dari beerbagai site, hanya 1 aku dapat, dan itupun Template managernya udh di deface,,, so ??? find again, still spirit

    ReplyDelete
  44. perasaan itu bikin user baru deh :-s bukan ke adminnya langsung :-?

    ReplyDelete
    Replies
    1. bugsnya kn emg disitu, =)) beberapa CMS Joomla memiliki bugs dimana attacker bisa mendapatkan akses login admin dengan memanfaatkn user registrasi. =p~

      Delete
  45. This comment has been removed by the author.

    ReplyDelete
  46. Itu pake notepad sendiri atau dari sananyya udah ada ??

    ReplyDelete
  47. itu code nya harus sama atau setiap website beda"?
    :-?

    ReplyDelete
  48. baang ini kok ane setiap mau login adminnya kaya gini terus "You do not have access to the administrator section of this site." padahal udah sama dengan cara diatas tolong dijawab ._.

    ReplyDelete
    Replies
    1. LIAT UPDATE:

      Ciri2 web yg vuln com_user, silahkan sobat check dulu login adminnya, jika seperti gambar dibawah, berarti web tersebut memungkinkan untuk bisa di exploitasi, selain itu tidak bisa...

      Delete
  49. Bang Onix koq gabisa register sih? Wktu register katanya "The username you entered is not available. Please pick another username."
    Apa websitenya tidak bisa dengan tehnik ini?

    ReplyDelete
  50. Kenapa setiap Regristrasi, malah keluar Mercusuar

    ReplyDelete
  51. This comment has been removed by the author.

    ReplyDelete
  52. good job @mas bimo :v
    commentnya pake ini aja :v

    Tidak semua website bisa dengan teknik ini, harap selalu mencari dan mencoba! karena dalam dunia Hacking tidak ada yg instants dan bisa berhasil dengan mudah! Mereka yg berhasil adalah mereka yg selalu sabar berusaha dan terus mencoba!

    :d :d

    ReplyDelete
  53. Login denied! Your account has either been blocked or you have not activated it yet.

    ReplyDelete
  54. ane bisa yeeee
    nih 1 doang tapi :3
    http://kpsolutionsinc.com/

    ReplyDelete
  55. k untuk pasword,name,unsername,email itu terserah kita

    aku udah register terus di konfir pas mau login pake data register aqu kok gx bisa malah muncul begini (joomla_int Session Create: You do not have access to the administrator section of this site.)

    apa ada yang salah, atau harus cari target lain ?

    ReplyDelete
  56. bang tapi koq kaga bisa login ke admin joomla ? pdhal udah lakukan step by step dari abang berikan , minta petunjuknya bang :)

    ReplyDelete
    Replies
    1. Tidak semua website bisa dengan teknik ini, harap selalu mencari dan mencoba! karena dalam dunia Hacking tidak ada yg instants dan bisa berhasil dengan mudah! Mereka yg berhasil adalah mereka yg selalu sabar berusaha dan terus mencoba!

      Delete
  57. tu masuknya bukan ke admin login tp user login broo

    ReplyDelete
  58. udah pusing @-) minta dork buat nemu web vuln

    ReplyDelete
  59. kok pada username genensis kok not avilable tah

    ReplyDelete
  60. tutor bolieh copas yah begini bro...doi sendiri jg ga ngerti wkwkw itulah ciri bangsa kita wkwkwkw...merdeeeka!!!!!!!

    ReplyDelete
  61. This comment has been removed by the author.

    ReplyDelete
  62. Kok gw dah coba tapi bolak-balik keluar tulisan gini ??

    Your session has expired.Please log in again .

    Mksudnya gimana ya ?

    ReplyDelete
  63. K0K link confirmasi nya gak masuk di email ku??? ;((

    ReplyDelete
  64. Om ONIX ane mau Tanya NIh :D https://lh3.googleusercontent.com/-Em3lvBgvYlI/T2WElbV0BaI/AAAAAAAACdI/ApynphQdka8/s36/7.gif https://lh6.googleusercontent.com/-ErUGB8ea0H4/T2WEdm5-ZSI/AAAAAAAACbs/245Hxnaa82g/s35/22.gif

    ReplyDelete
  65. sob mau nanya nih ko keluar gini mulu kalo mau login admin nya
    "You do not have access to the administrator section of this site."

    ReplyDelete
  66. gan itu site target yang di pake yang mana..?

    apakah yang ada di address bar..?

    ReplyDelete
  67. 500 - An error has occurred. <<<< Gimana Tuh????

    ReplyDelete
  68. mau tanya broh ngembangin dork nya itu jd ky gimana ya ?? Tolong jawab

    ReplyDelete
  69. meski vuln kalo dari admin gak dapet ijin buat masuk CP... [-(
    tetep aja gak bisa masuk CP :-d
    :-#

    ReplyDelete
  70. Bang Onix Pas Registrasi Di File exploit joomla.html trus di klik registrasi Kog Gabisa y. Malah Keluar URL Lain And Server Not Found @-) :-? . Gimana Caranya Bingung NIh :((

    ReplyDelete
    Replies
    1. baca tutornya yg teliti gan... :-s
      pasti bisa koq... 8-)

      Delete
  71. punya saya kok begini ya gan..

    The username you entered is not available. Please pick another username.
    The passwords you entered do not match. Please enter your desired password in the password field and confirm your entry by entering it in the confirm password field.
    The email addresses you entered do not match. Please enter your email address in the email address field and confirm your entry by entering it in the confirm email field.

    ini apanya ya..?

    ReplyDelete
    Replies
    1. edit exploit joomlanya :d
      ganti usernamenya
      ganti emailnya...
      ganti url tujuannya
      masukin ID yg (hidden)
      beres...
      8-) 8-)

      Delete
    2. Hadehh Nyerah Gue Dah ;(( Perasaan Udah Ada 100Website Yg Ane Coba Tapi Tetap Ga Bisa Login ;-(

      Delete
  72. You do not have access to the administrator section of this site.

    ;((

    ReplyDelete
  73. ini diapakan ya???
    http://prntscr.com/1yb9o2

    mohon segera dijawab ya min

    ReplyDelete
    Replies
    1. adminnya sibuk biar ane yang bantu :d :d

      yang agan ganti..
      NAME
      USERNAME
      EMAIL
      EMAIL CONFIRMATION

      8-) 8-)
      maaf kalo kurang jelas biar admin aslinya yang jelasin.. 8-)

      Delete
  74. Gan kok email konfirmasinya ga sampe ke email ane itu knp iya ?

    ReplyDelete
  75. muncul tulisan "ReCaptcha text error. Please Try Again!"
    Gimana bang hekel??

    ReplyDelete
  76. Thanks gan work tanpa kesulitan (h)

    ReplyDelete
  77. kk, kok saya gk dapet emailnya ya?

    ReplyDelete
  78. yang infected itu bisa di exploit maksudnya ?

    ReplyDelete
  79. :-d yeye ane kaga bsa om tapi hacker musti sabar ga kayak bocah yg koar2 :v

    ReplyDelete
  80. cara mengEKSTRACT file itu gmna sihh om....?? ckckck

    ReplyDelete
  81. makasih gan, sekali nyoba langsung work
    Arigato gozaimasu
    XD

    ReplyDelete
  82. Wkwkwkwk, nice bang,, gue gak akan menyerah walau sekali belajar , gagal login ke adminya, kwkwkwk kan bilangnya kalo login gagal cari yg lainya :p

    ReplyDelete
  83. sya mau tanya maksud dari buka email anda itu buka email di Google+ ?
    Kasih sarannya gan .. ;( ;( ;( ;(

    ReplyDelete
  84. You do not have access bla bla bla ;((

    ReplyDelete
  85. kok gk bisa login sebagai administrator ya ? [-(
    cuma bisa login sebagai user ? :-?
    mohon pencerahannya mastah (p)

    ReplyDelete
  86. wkwkw, ni blog nyolong htmldari sini yee :-d
    http://hack-for-live.blogspot.com/ :d :d

    ReplyDelete
  87. bah mantap bang. izin belajar dech :d

    ReplyDelete
  88. Bang onix kalo kagaa ada code Hiddenya ,,
    cari target lain ya/?

    ReplyDelete
  89. This comment has been removed by the author.

    ReplyDelete
  90. 3. Ane disini mengambil contoh:

    http://mobile.resto-lincontournable.com/index.php/utiliser-joomla/utiliser-extensions/composants/composant-flux-rss/un-flux-rss

    maksud yang itu gimana om ?

    ReplyDelete
  91. Udh muncul "Your account has been created and an activation link has been sent to the email address you entered. Note that you must activate the account by clicking on the activation link when you get the email before you can login."

    Tpi e-mail blom masukkk,, gmn min??? ;((

    ReplyDelete
  92. Aku baca comments dari atas sampai bawah, pada dramatis bener, tolonglah temen2, di baca lagi tuh tutorialnya, kasihan adminnya, ngulang2in jawaban dari atas sampai bawah, kuncinya sabar, mau trs mencoba, kreatif, aku ucapin selamat dah buat admin, mau ngasih bimbingannya, 200 kurang lebihnya aku tebas....Thanks

    ReplyDelete
  93. udah baca dari awal sampek terakhir udah cobak sampek 75 website tapi kok gak ada efeknya

    masuk ke admin aja blom bisa [-(

    ReplyDelete
  94. " masukan password sobat " password yg mana?

    ReplyDelete
  95. saya sudah bisa login :-d
    tapi kok hasilnya jadi kayak gini http://prntscr.com/2suvlg @-)
    mohon dong bantuannya ;(( ;(( ;((

    ReplyDelete
  96. pas aku buka e-mail kok gak ada kode konfirmasinya ya om,,,,,itu masalahnya dimananya ya om?...

    ReplyDelete
  97. :p BISA pak cuma dapat 40 web oon :D


    jangan lupa visit blog saya ya :) http://mirza-post.blogspot.com/

    ReplyDelete
  98. kok waktu klik register jomla.html kok problem mullu ya?
    pencerahannya dong

    ReplyDelete
  99. Bang... anti virusnya wajib mati gak?

    ReplyDelete
  100. gak semua bisa di deface mamas mamas :)
    teknik Com_User ini selalu memiliki kendala
    Ex: web ga ada tempat registernya [-(
    sekalinya ada tempat registernya gak masuk ke email ;-(
    sekalinya masuk ke email gak bisa login ke sitenya :-)

    ReplyDelete