Rabu, 06 Maret 2013

CMS Webconstructor File Upload Vulnerability

Posted by Erza Jullian 12.45, under | No comments

Kali ini saya akan share teknik deface yang kemarin saya dapat dari bang ENno. Tekniknya cukup mudah terutama bagi yang newbie culun seperti saya. :v


Oke, langsung saja.



Bahan :




  • Google Dork : inurl:tiny_mce/plugins/filemanager [untuk dork lain silahkan dikembangkan sendiri]

  • Exploit : [localhost]/PATH/tiny_mce/plugins/filemanager/insertfile/insert_file.php





Sekarang kita mulai prakteknya.




  1. Buka google dan cari target dengan dork diatas.

  2. Sebagai contoh saya pilih http://rofel.pl/tiny_mce/plugins/filemanager/

  3. masukkan exploitnya sehingga menjadi http://rofel.pl/tiny_mce/plugins/filemanager/InsertFile/insert_file.php

  4. Upload filenya. Sebagai contoh saya upload file dengan nama suram.html

  5. Jika upload sukses, maka kalian akan melihat alamat filenya di bawah. Yaitu di http://rofel.pl/upload/suram.html

  6. Dan sekarang, foto nabilahJKT48 sudah terpasang di web tersebut. :v










Ekstensi file yang adpat diupload adalah html, pdf, txt, doc, jpg . Tidak support file .php sehingga tidak bisa upload shell.


CMS Webconstructor File Upload Vulnerability


Thanks to : ENNo Area

0 komentar:

Posting Komentar

Tags

Blog Archive

Blog Archive