Deface Warehouse Prestashop Arbitrary File Upload

Monday, June 27, 2016

Deface Warehouse Prestashop Arbitrary File Upload

Deface Warehouse Prestashop Arbitrary File Upload - Garuda Security Hacker

Sekarang script deface nya bukan Nabilah JKT yang cantik lagi :v.. sekarang pake logo.
Balik lagi sama mimin yg tampan :) kali ini aku share tutorial deface lagi "Deface Warehouse Prestashop Arbitrary File Upload". Sebelumnya ane mau menyampaikan sesuatu dlu.
Pas Kemaren ane liat banyak banget yang berulah lagi ngedeface website yang pakai CMS Lokomedia, kemarin web pemerintah/sekolah nya sekarang web desanya :'( sedih aku ngelihat perilaku Defacer sekarang. ngerusak web dalam negeri terus -_- tp ga semua nya ngerusak ada juga yg ngasih pesan aja ke admin nya. atau nutup tempat login admin :). Ok udah ah curhatnya langsung ke topic kita yaitu "Deface Warehouse Prestashop Arbitrary File Upload". bekicottt

Bahan :

Dork :
sebenernya ane males juga ngasih dork banyak-banyak, bikin orang jadi males mikir + manja
inurl:"/modules/columnadverts/"

CSRF :

Exploit :
http://targetsuka.co.li/[path]/modules/columnadverts/uploadimage.php

Step By Step :)

1. Seperti biasa kita dorking :v. eittss dorking nya bukan di bagian 'semua' tapi di bagian gambar !!

Deface Warehouse Prestashop Arbitrary File Upload - Garuda Security Hacker

2. Pilih aja terserah kalian. keberuntungan di tangan kalian. klik gambar setelah terbuka gambarnya. klik kanan terus pilih "Copy Image Location"

3. Buka tab baru paste url hasil copy tadi.. masukan exploit seperti contoh di atas

4. Kalo Vuln akan seperti ini !!

Deface Warehouse Prestashop Arbitrary File Upload - Garuda Security Hacker


5. Copy url yang ada di address bar. buka CSRF Exploiter online tadi :)
Masukan url nya pas di Post Name pilih userfile. pilih shell lalu submit

Deface Warehouse Prestashop Arbitrary File Upload - Garuda Security Hacker

6. Kalo sukses akan muncul nama file kamu :)

Deface Warehouse Prestashop Arbitrary File Upload - Garuda Security Hacker



7. Akses shell ?? Use Your Brain :)

Tenang di kasih tau kok : http://targetsuka.co.li/[path]/modules/columnadverts/slides/namashell
Jangan Lupa Nitip nick _Tuan2Fay_ dan Garuda Security Hacker :)

Jangan bosen mampir di blog ini ya :)

Only God Can Stop My Action :) Respect !!

Related Post

Next
Previous
Click here for Comments

18 comments:

avatar

Bang, cara buka browsernya gimana?

avatar

download ok google :) terus bilang. "Ok Gugel, cara buka browser"

avatar

link csrfnya kok mati gan

avatar

bisa kok, itu ane kasih csrf online 8-)

avatar

shell mentah ?? coba cek di postingan blog yg lain..

avatar

ambil palu trus PC nya lu getok aja pake palu

avatar

bang, exploiternya error

avatar

terimakasih sudah memberitahu, waktu itu ada perbaikan, sekarang sudah bisa di gunakan lagi

avatar

mbah mksudnya [path] itu gmna yak?

avatar

misal nya http://sitetarget.co.li/utama/
itu direktori /utama/ di sebut path
home direktori website tersebut

avatar

Mana csrf onlinenya qok malah auto visit?

avatar

cek di sini om -> http://garusechak.cf/

avatar

gimana sih? gagal paham ane :v

avatar

Koq Cuman Ada Tulisan Ip Di http://garusechak.cf
Gimana Min?

avatar

Ini gimana ? kok exploiter nya ga bisa ?