Deface Warehouse Prestashop Arbitrary File Upload

Deface Warehouse Prestashop Arbitrary File Upload

Deface Warehouse Prestashop Arbitrary File Upload - Garuda Security Hacker

Sekarang script deface nya bukan Nabilah JKT yang cantik lagi :v.. sekarang pake logo.
Balik lagi sama mimin yg tampan :) kali ini aku share tutorial deface lagi "Deface Warehouse Prestashop Arbitrary File Upload". Sebelumnya ane mau menyampaikan sesuatu dlu.
Pas Kemaren ane liat banyak banget yang berulah lagi ngedeface website yang pakai CMS Lokomedia, kemarin web pemerintah/sekolah nya sekarang web desanya :'( sedih aku ngelihat perilaku Defacer sekarang. ngerusak web dalam negeri terus -_- tp ga semua nya ngerusak ada juga yg ngasih pesan aja ke admin nya. atau nutup tempat login admin :). Ok udah ah curhatnya langsung ke topic kita yaitu "Deface Warehouse Prestashop Arbitrary File Upload". bekicottt

Bahan :

Dork :
sebenernya ane males juga ngasih dork banyak-banyak, bikin orang jadi males mikir + manja
inurl:"/modules/columnadverts/"

CSRF :

Exploit :
http://targetsuka.co.li/[path]/modules/columnadverts/uploadimage.php

Step By Step :)

1. Seperti biasa kita dorking :v. eittss dorking nya bukan di bagian 'semua' tapi di bagian gambar !!

Deface Warehouse Prestashop Arbitrary File Upload - Garuda Security Hacker

2. Pilih aja terserah kalian. keberuntungan di tangan kalian. klik gambar setelah terbuka gambarnya. klik kanan terus pilih "Copy Image Location"

3. Buka tab baru paste url hasil copy tadi.. masukan exploit seperti contoh di atas

4. Kalo Vuln akan seperti ini !!

Deface Warehouse Prestashop Arbitrary File Upload - Garuda Security Hacker


5. Copy url yang ada di address bar. buka CSRF Exploiter online tadi :)
Masukan url nya pas di Post Name pilih userfile. pilih shell lalu submit

Deface Warehouse Prestashop Arbitrary File Upload - Garuda Security Hacker

6. Kalo sukses akan muncul nama file kamu :)

Deface Warehouse Prestashop Arbitrary File Upload - Garuda Security Hacker



7. Akses shell ?? Use Your Brain :)

Tenang di kasih tau kok : http://targetsuka.co.li/[path]/modules/columnadverts/slides/namashell
Jangan Lupa Nitip nick _Tuan2Fay_ dan Garuda Security Hacker :)

Jangan bosen mampir di blog ini ya :)

Only God Can Stop My Action :) Respect !!

18 comments:

Tyas Mahardhika said...

Bang, cara buka browsernya gimana?

Tuan2Fay Official said...

download ok google :) terus bilang. "Ok Gugel, cara buka browser"

Unknown said...

link csrfnya kok mati gan

Tuan2Fay Official said...

bisa kok, itu ane kasih csrf online 8-)

ihsan junior said...

bagi shell gan

Tuan2Fay Official said...

shell mentah ?? coba cek di postingan blog yg lain..

Yukinoshita47 said...

ambil palu trus PC nya lu getok aja pake palu

fbstutorial said...

bang, exploiternya error

Tuan2Fay Official said...

terimakasih sudah memberitahu, waktu itu ada perbaikan, sekarang sudah bisa di gunakan lagi

candra eka said...

Ijinn praktek mbah :D

Tuan2Fay Official said...

nitip nick mbah :)

Mr Acid Poison said...

mbah mksudnya [path] itu gmna yak?

Tuan2Fay Official said...

misal nya http://sitetarget.co.li/utama/
itu direktori /utama/ di sebut path
home direktori website tersebut

Malaikat Bayangan said...

Mana csrf onlinenya qok malah auto visit?

Tuan2Fay Official said...

cek di sini om -> http://garusechak.cf/

Sugeng said...

gimana sih? gagal paham ane :v

Dz Ikri said...

Koq Cuman Ada Tulisan Ip Di http://garusechak.cf
Gimana Min?

Unknown said...

Ini gimana ? kok exploiter nya ga bisa ?