Tutorial Upload Shell Dengan Tamper Data

Sebelumnya akan saya jelaskan dulu prinsip kerja tamper data ini. Tamper data adalah sebuah add ons atau pengaya pada browser Mozilla Firefox yang digunakan para defacer untuk mengakali sebuah website, dimana ketika website dalam kondisi normal hanya dapat digunakan untuk mengupload file – file tertentu saja, misal foto. File pada foto biasanya memakai ektensi .jpg, .png, .gif, dll. Namun dengan tamper data ini file gambar dapat diubah menjadi file .php (shell). Caranya seperti apa, langsung aja kita praktekkan.

Pertama download shellnya disini http://www.mediafire.com/view/k4lf4ietwc6akxc/x.php

Jangan lupa download pengaya Tamper Data juga disini https://addons.mozilla.org/En-us/firefox/addon/tamper-data/

Ini file shellnya. x.php

Sekarang kita rename shellnya menjadi file gambar. Caranya klik kanan pada file shell tersebut, kemudian klik rename. Ubah namanya dari x.php menjadi x.php.jpg

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEihYzMnoPvt7MAz-_1qeVnI6PU50bknYPdIC5GWS1Y_sQXNt3IWSP5xFPrMe8Zkpkq0amc8QBrpxzRn9vAZpdsOQwJtZI0zgTje2xxjVkrcMQtZFVkNJqaDPEUFKgaOiOZ-gW9fopiheBOS/s400/04.PNG

Kebetulan ini tempat pendaftaran, ya udah isi asal – asalan aja gapapa :)

Klik tombol Browse… pada form upload foto

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjbhDpUvi_5l25ek00xx24p7ueueVNjTWrXYOscdfWm52AUmgQT1OAaO1Ce7JecC3CPtrrmRDMXqPBpkwbw8ZXg4nOYTZrFigZ0SBnnSdZewbJDa0ntnTs2CJh8EofbPi8XRfJUD_t7zavY/s400/05.PNG

Sekarang cari file shell yang udah kita rename tadi, setelah itu klik Open.

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjyGuPO7AvC4TwsvRF7kiIevHZ67iAt7KEr9lcqElVuHRypEd0fZ00SnRjVVhKOTBq4tSjb57xmCrbiAHV9d9eSbrQceb_4xZScvtRhteAALCic_g9dYrBTLAf5tnSVb_Ib7Izv1il4HYz8/s400/07.PNG

Jangan di klik daftar atau upload dulu sebelum mengaktifkan tamper data. Sekarang aktifkan dul tamper datanya. Klik Tools pada menubar, kemudian klik Tamper Data.

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgvKhVCI7T1QQ5qt9RHI2Z5J1kRLrsAgf_0-uqURz4v6-SM25tDHEkskNngewpB9FNiOEdSdHsLEQiV_fi-OMMbgVtfZWERmSD4rV-SIVE9agbo5E_XlMJEFE8a-CgIC4zeRkVNjDPbGRaJ/s400/08.PNG

Klik Start Tamper, kemudian klik icon Minimize seperti dibawah ini.

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjiMXL9YpC8uusgdyYRJTuEAmqVXioXL4KExuV99Hf5Vbt60P2ANMsOQaEloJ1PsJyJCdS6jO45KYRv-WUqnwcTYJ2lLmUJBJfC7evASz4iaCdO4bimQL6bhHy5VuuF9PBx0QcR9zyshQVY/s400/09.PNG

Nah setelah tamper data aktif, sekarang tekan Daftar atau upload.

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjlEWQRTd-qLIFXkZUq4Q1nR7MtjTsQ4zUIZ4NHVHs8hyphenhyphendZ1CWFM5GirRKFWHZkUS8z4EnyQby-SGH4aTZn5E5KWRwwL4lIsdGG-70JtPg1domCLDgaDuBRJ6RAry8b3tpHGwHtaKuKMYVi/s1600/11.PNG

Saat muncul jendela seperti dibawah ini, klik Tamper

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEizrxuq3K52hyphenhyphenPjQBA3Og8HdC-oUVz8F0JSyWVhTGoV18m3GNB6Z5mVgmaOi3_sFG9_bijFLeDRDMBWlIshyphenhyphenMH3wa5EW63Bd3witOeohU31wTVDkoqdXDUkw5n12r3L2krO7L9K6cb1k9Gy/s1600/12.PNG

Diamkan saja, tunggu sampai muncul Tamper Popup seperti dibawah ini.

Pada Tamper Popup di bagian POST_DATA, cari nama shell kita tadi (namanya x.php.jpg) setelah ditemukan seperti gambar di bawah ini, rename x.php.jpg menjadi x.php kemudian klik OK.

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitJVPxLoBpNtOrk42gqGKoKfbYjnB-PNLAcoR89vOpMEXa1K5GWFyUpIdEdnFCiSe9S7v2Q1lJpTXnTSKhSt65BKldjIL5RhcHxZNH2aOTTmS2hC2YRUauY6MInQfoII5KOTIAK512EyuF/s1600/13.PNG

Buka kembali tamper data dan nonaktifkan. Caranya klik Stop Tamper seperti dibawah ini, kemudian close jendelanya.

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEigqjpKEMDz5xLKsuRtbe50_ZS0axA6fdWO4coZQsHxZiOM75Vjif5VaSp_3BE8w8pmI2RcCgHLwmlxDmvb59peE8TS4TwjHvuLLK_jFkChAbrt7IWXa-K0mi_I8Iwp2Mf42XjkssXfSBcB/s1600/14.PNG

Nah shellnya udah terupload sekarang. Sekarang cari gambar yang ada di web tersebut. Gambar apa aja boleh. Misal contohnya pada web ini ada gambar jempol. Klik kanan gambar tersebut kemudian klik Copy Image Location

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjWpGU9-5TnUnL9ure8up8gqqg4JvxeUfOOcdQmaQKkL_39nka5d0Xe852Azo3B8tOd-cL7n96Lx5J981DZML1ckgvIv6GK3WoO_jaJCvLlB7fvWTHMglanpp8dQo1YhAzZbQ2b1AV-KFQQ/s1600/15.PNG

Kemudian paste di address bar seperti dibawah ini.

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg7FCn6Ze5YhGL4uroYoOXwYSeI-8Vu2mVzF95tAF-o_rTkbm7UgbzrnI1IYk2kYM_16vCroq97tSJzniyBaldKuXQ0HZjXjcHNtDSoXqnttucJ65m4KsSS_AgyaKG0_EUTumtI2Dq8zIZI/s1600/16.PNG

Sekarang ganti url nya menjadi url shell kita tadi, yaitu x.php seperti dibawah ini kemudian tekan enter.

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhSbtrPayhlMZA7hDvfsNgQBObJo4N1aFOIFZmsJl5903cwlG1d5OW9z4y6V42EBL8OlcOeDWFgYFoXXtPbiFw0Ikn_uWHOlAHhiL8kDKxUgCT1Ma1A1pm3kHRNxWFyqSu05Qo6ZR0pxPg5/s400/17.1.PNG

Berhasil. Wkwkwk :D

Yang perlu diingat disini gak semua tempat upload file bisa ditamper.

Mungkin itu aja, maaf kalau terlalu rumit. Soalnya ya memang seperti inilah caranya, hehe :p

Tapi inget, gak semua web target bisa kita lakukan dengan tekhnik ini .Kalau gak berhasil , silahkan hubungi adminnya aja langsung :p

Source and thanks to : Muhammad Fuad Fachrudin | Indonesia Security Cyber