11/20/2019

Depes proof uploadify


Assalamualaikum ker

hari ini gua mau share tutorial depes (deface) proof of concept uploadify disini dia vuln csrf wokwokwok

langsung aj yya gausah panjang panjaang, karna belom tentu postingan panjaang blog di terima sama adsense wkwk

dorknya:

- intitle:'Index' intext:'uploadify.php' intext:'.swf'
- intitle:'Index' intext:'uploadify.php' intext:'uploadify.allglyphs.swf'

yodah segitu aj yang gua kasih, selanjutnya bisa lo kembangin make otak sex lo oke.

oke pertama masukin dork ke search engine google.com.

exploit nya gini:
https://randomtarget.site/[path]/uploadify.php

penjelasannya, randometarget.site itu target random yang diambil dari dork nya, [path] itu nama foldern nya, nah biasanya path nya itu tetep uploadify namanya, jadi lebih simple nyasi

https://randomtarget.site/[path]/uploadify/uploadify.php

kalau uploadify.php itu bug nya, disini gua gabisa jelasin tentang bug nya karna terlalu panjang dan pastinya lo bosen bacanya.

langsung ke exploitasinya.
1. copy url target yang udah ketemu file uploadify.php nya, kalau vuln atau bisa di eksekusi, pas kalian akses file uplpadify.php atau contoh https://randomtarget.site/[path]/uploadify/uploadify.php
 itu tampilan nya ngblank atau putih semua.

live targetnya disini.

2. selanjutnya kalian bisa pergi ke csrf disini.

3. masukin target yang mau di ekse ke form pertama, dan form kedua diisi type post nya, isi Filedata aja.
contoh:


4. nah kalo udah klik simpan, terus upload script deface/shell/gambar seterah lo aja deh.

5. kalau ke upload, biasanya gini nih.

6. nah cara aksesnya http://randomtarget.site/namafile.ext
bisa juga http://randomtarget.site/uploads/namafile.ext
kadang gaketemu juga ke upload dimana wkwk

yaudah mungkin cukup sekian postingan kali ini, ada yang salah mohon dimaafkan, kalo gasuka? jauh jauh sana.

wassalamualaikum.

11/14/2019

Hidden Uploader


assalamualaikum.

gimana kabarnya hari ini? semuanya baik-baik saja kan?

jika begitu jangan lupa bersyukur oke.

dikesempatan kali ini, kami akan membagikan hidden uploader yang tidak mempunyai logger dll.

cara melihatnya cukup mudah.

kalian tinggal menambahkan ?q=password dibelakang ekstensi file nya, contoh site.com/[dir]/zxmbxe.php?q=heker

disini kami menggunakan heker untuk default password nya, dan zxmbxe.php untuk default name file nya. oke ini tampilannya cukup simpel, karena gunanya cuma untuk mengupload script, shell dll.

berikut untuk tampilannya:


langsung saja kalian download/copas disini

okee mungkin cuma itu saja yang bisa kami sampaikan, kami ucapkan terimakasih kepada kalian yang telah ingin mengunjungi blog kami yang tidak ada faedah nya ini hehehe

jangan lupa untuk mengikuti akun sosial media kami agar kalian tidak ketinggalan berita terupdate dari kami.

wassalamualaikum.