Deface Array Files Shell Upload Vulnerability

Saturday, March 18, 2017
Langsung aja ye gausah banyak basa-basi

Pertama silahkan dorking dulu di google , dork bisa diliht Disini Atau  Disono Cuk

dorking image yah ingat :)


Silahkan klik image dan kemudian silahkan klik open image in new tab


Maka akan jadi seperti ini


Disana terlihat ada link http://upload.studioconex.pl/server/php/files/DSCF2150%20ok%20%281%29.jpg

Lalu kita coba masukkan exploitnya yaitu site.com/server/php/
Sehingga menjadi http://upload.studioconex.pl/server/php/
Jika Vuln akan tampil kurang lebih seperti ini

Silahkan klik gambar untuk memperbesar

atau biasanya juga cuman muncul tulisan {"files":[]} aja , intinya yah sekitaran seperti itu lah , klo not found atau forbidden mendingan tinggalin aja

kemudian kita buka csrf nya Disini

Masukkan link tadi http://upload.studioconex.pl/server/php/ di target
postname ketikkan : files[]

Kemudian klik ok terus pilih shell kamu kemudian upload deh 
Usahakan pakek minishell yah biar meminimalisir kedeteksi sama antivirus web nya, nah untuk minishell bisa download disini


Kalau berhasil maka akan keluar seperti ini 

Klik gambar untuk memperbesar

Yang saya block adalah nama shell nya , ingat ya nggak semua web setelah kkita upload shell, nama shell kita sama dengan nama awal, bisa juga jadi random nama shell kita, jadi kita harus melihatnya dengan cara dilihat pada hasil keluaran setelah upload shell seperti diatas

Shell akses : Klik Disini



Ada Pertanyaan Mengenai POSA ini Yang Tidak Anda Mengerti ? Hubungi Facebook Admin Disini atau Disini Greetz to : Yukinoshita 47 | _Tuan2Fay_ | Snooze | OutrageousEngkus | TM_404 | E7B_404 | LuckNut | Cr4bbyP4tty | ShadowHearts | CyberGhost.17 | Lyonc | EvilClown | Mr.Spongebob | D34D_SL33P | | Mr.HzA404EsL | Mr_Viruzer#29 | Loyo-ID | Fazlast | DarkTerrorizt | And All Member of Garuda Security Hacker

Related Post

Next
Previous
Click here for Comments

11 comments:

avatar

min , cms dari sekolahku.web.id ,exploit pake method apa ya .
pake framework CI kyaknya

avatar

cari aja tempat upload file nya, bisa di upload foto atau upload dokumen, tapi kalau kami yang anda suruh exploit MAAF kami tidak bisa karena alasan tertentu :)

avatar

nice artikel booss , saya bookmark dlu makasih :D

avatar

Min pas open link malah ke download

avatar

Min pas ke open shell kok malah ke download?

avatar

kalo ke download berarti bug nya udah dipatch

avatar

Untuk CSRF silahkan gunakan CSRF sendiri karena webserver CSRF terkadang down atau bisa menghubungi FP kami dan silahkan minta link CSRF

This comment has been removed by the author.
avatar

Nice artikel min (y) ijin nyoba besok (y)