Hack situs Joomla

Hack Situs Joomla Dengan Password Reset.

Sebenarnya saya tidak terlalu berani untuk membuat judul seperti itu. Karena Hal semacam ini lebih pantas di sebut crack. Karena ini sifatnya menghancurkan. Petama-tama Kita Mencari Target untuk kita hack terlebih dahulu : carilah target situs joomla yang ingin di hack (crack) dengan menggunakan keyword inurl:option=com_user di google. Ctt: Jika anda ingin hack lebih mudah, keyword lebih diperjelas dengan domain dan sebainya domainnya diisi dengan menggunakan domain gratis. (ex: .co.cc atau .tk) ini dikarenakan biasanya para pembuat web yang menggunakan domain gratis, dia tidak terlalu serius dalam pembuatan webnya tersebut. Jadi, bug dari password reset ini belum di patch oleh pemilik website. Dengan syntax inurl maka Google akan mencarikan situs yang mengandung kata yang kita tentukan. Mengapa harus “option=com_user”? Karena memang bugnya terdapat pada komponen com_user. Jika anda sudah memiliki target situs joomla, lanjutkan dengan klik forgot password pada login form. lalu akan keluar URL seperti ini pada addres bar: http://situstarget.com/index.php?option=com_user&view=reset Sekarang anda tambahkan &layout=confirm pada akhir dari URL tersebut sehingga menjadi seperti ini: http://situstarget.com/index.php?option=com_user&view=reset&layout=confirm (Jika anda medapatkan target dari google. Setalah anda mendapatkan target dan masuk ke website tersebut, anda menuju ke home atau halaman awal dari website tersebut untuk mencari login form agar anda dapat mengikuti step seperti diatas.) Ternyata setalah anda menambahkan &layout=confirm, Anda dibawa ke kotak dialog Password Reset. Untuk bisa merseset passwordnya kita harus memasukkan kodeTOKEN dengan benar. Anda pasti bingung harus mengisi apa pada token tersebut karena memang anda tidak mengetahui apa token yang dimilik oleh admin dari website tersebut. Tetapi jangan khawatir, anda dapat menggunakan Token Ajaib yaitu dengan menggunakan token (') . Jika website tersebut belum di patch, maka anda akan dibawa ke halaman reset password seperti gambar berikut ini: Tetapi, jika anda tidak berhasil masuk ke halaman reset password, berarti web tersebut tidak bisa di hack. Dan anda harus mencari target lain. Nah setelah kita Reset Password Kemudian kita mulai masuk ke administratornya. http://situstarget.com/administrator/ Sekarang perlu untuk menebak username dari website tersebut. Biasanya para pemilik website menggunakan username "Admin". Atau anda bisa mencari usernamenya dari web itu sendiri. Misalnya anda melihat alamat dari webnya, atau apa saja yang kemungkinan dijadikan username. liat gambar di bawah ini : Setelah masuk ke halaman Admin,  bisa mengubah semua struktur dari website tersebut.  Bisa dengan menyisipkan PHPShell a.k.a. Backdoor ke server target untuk memodifikasi theme-nya. Atau jika anda tidak tahu caranya anda langsung masuk saja ke halaman pengganti tema dan memasukkan script - script. Seperti contoh web yang saya hack ini DEFACE Untuk meng-UPLOAD shell, Gunakan Media Manager (Site > Media Manager) Tapi kalau males mengupload Shell atau gak ngerti cara menggunakannya cukup dengan mengedit Template-nya (Extensions > Template Manager). Pilih template yang dijadikan default dan pilih Edit. Selamat mecoba. Saya bukan bertujuan untuk mengajarkan hal yang tidak benar. Tetapi, saya hanya berbagi ilmu dan pengetahun agar ilmu ini dapat dipergunakan secara positif.