Bagi beberapa orang, menanam shell dan melakukan backdooring terhadap situs target mungkin bisa dikatakan sebagai sesuatu yang baru, banyak yang masih menanyakan bagaimana cara upload shell dan backdoor. Sebenarnya konsep upload shell hampir sama dengan upload file pada server menggunakan FTP, akan tetapi hal ini akan menjadi lain jika administrator tidak memberikan akses untuk upload file shell pada website tersebut, untuk mengakali tersebut biasanya hacker melakukan upload dengan menggunakan teknik tamper data. Tamper data biasanya dipasangkan dengan teknik LFI sebagai eksploitasinya. Akan tetapi pada kali ini, saya tidak akan membahas mengenai LFI, akan tetapi lebih ke concept upload shell dan backdooring menggunakan SQLI.

Salah satu teknik hacking yang hingga saat ini masih populer digunakan oleh sebagian hacker adalah SQLInjection. SQLi termasuk teknik umum yang biasanya digunakan untuk mendapatkan hash password dengan cara menginject paramater sql ke dalam script php. Langkah pertama yang biasa dilakukan hacker untuk mendapatkan website yang terinfeksi sqli melakukan search secara random menggunakan google. Untuk mencari website yang rentan terkena sqli dapat menggunakan dua cara, cara pertama dikenal dengan istilah google dork sqli dan cara kedua adalah menggunakan tools. Banyak tool yang bisa di download di internet untuk mendapatkan list website vuln sqli, antara lain ada sqliscanner ada xcodexploitscanner. Sedangkan untuk mendapatkan dork SQLi dapat dibaca pada tulisan saya sebelumnya di blog ini. Setelah mendapatkan nama-nama website yang memiliki vuln sqli, alangkah baiknya dicek dahulu web tersebut apakah memang bisa di eksploitasi atau tidak, dikarenakan tidak semua website yang ditampilkan bisa dieksploitasi.  Apabila web tersebut bisa untuk diinject, silahkan cari database yang digunakan menggunakan teknik order by dan union select (manual) atau jika ingin cara praktisnya bisa menggunakan bantuan tools seperti webcruiser ataupun havij. Berdasarkan pengalaman, beberapa permasalahan yang sering didapati, attacker harus lebih teliti terhadap pemilihan server target, dikarenakan banyak jebakan yang sering dipasang oleh administrator. Selain itu, administrator juga sering menyembunyikan halaman login administrator sehingga walaupun kita sudah mendapatkan user dan pass, tetapi kita tidak bisa login. Setelah tahapan mendapatkan halaman login dan memasukkan user dan password yang sudah di decrypt dari database dan bisa login ke dalam web administrator, disinilah baru dimulai aksi backdooring dan tanam shell. Silahkan berkelana mutar sana sini pada web target untuk mencari form upload shell. Shell sendiri sudah banyak yang beredar di internet, salah satu shell yang biasa digunakan adalah shell b374k buatan ketek.

Apabila di halaman upload tidak support untuk upload shell (ekstensi php) nah disini lah dibutuhkan teknik tamperdata yang erat pasangannya dengan teknik LFI.  Biasanya seorang hacker tidak akan puas jika hanya mendapatkan akses ke dalam webserver dan tanam shell saja, kebanyakan hacker akan berusaha untuk mendapatkan informasi lebih lagi seperti informais mengenai cpanel, bahkan syukur-syukur apabila mendapatkan akses langsung ke server, sehingga memudahkan hacker untuk jumping server dan ngeroot server lainnya tanpa takut untuk diketahui darimana mereka melakukan hacking (baca: tracing oleh administrator web). Biasanya hacker untuk mendapatkan akses ke cpanel menggunakan metode bruteforce terhadap password. Untung-untung administrator tidak menggunakan karakter macam-macam pada passwordnya sehingga aksi bruteforce nya tidak memakan waktu yang lama.

Banyak manfaat yang bisa kita dapatkan kalau sudah sampai tahapan seperti ini, bisa numpang hosting gratis, jumping sana sini dari server satu ke server lainnya hingga mendapatkan akses sock dan tunelling ke dalam server untuk memudahkan aksi hacking lainnya. Tetapi, akan lebih baik jika kita mempunyai etika seorang white hack, tidak melakukan aksi deface terhadap target dan melaporkan seluruh vulnerability yang didapat kepada administrator website dan server tersebut.