11/20/2019

Depes proof uploadify


Assalamualaikum ker

hari ini gua mau share tutorial depes (deface) proof of concept uploadify disini dia vuln csrf wokwokwok

langsung aj yya gausah panjang panjaang, karna belom tentu postingan panjaang blog di terima sama adsense wkwk

dorknya:

- intitle:'Index' intext:'uploadify.php' intext:'.swf'
- intitle:'Index' intext:'uploadify.php' intext:'uploadify.allglyphs.swf'

yodah segitu aj yang gua kasih, selanjutnya bisa lo kembangin make otak sex lo oke.

oke pertama masukin dork ke search engine google.com.

exploit nya gini:
https://randomtarget.site/[path]/uploadify.php

penjelasannya, randometarget.site itu target random yang diambil dari dork nya, [path] itu nama foldern nya, nah biasanya path nya itu tetep uploadify namanya, jadi lebih simple nyasi

https://randomtarget.site/[path]/uploadify/uploadify.php

kalau uploadify.php itu bug nya, disini gua gabisa jelasin tentang bug nya karna terlalu panjang dan pastinya lo bosen bacanya.

langsung ke exploitasinya.
1. copy url target yang udah ketemu file uploadify.php nya, kalau vuln atau bisa di eksekusi, pas kalian akses file uplpadify.php atau contoh https://randomtarget.site/[path]/uploadify/uploadify.php
 itu tampilan nya ngblank atau putih semua.

live targetnya disini.

2. selanjutnya kalian bisa pergi ke csrf disini.

3. masukin target yang mau di ekse ke form pertama, dan form kedua diisi type post nya, isi Filedata aja.
contoh:


4. nah kalo udah klik simpan, terus upload script deface/shell/gambar seterah lo aja deh.

5. kalau ke upload, biasanya gini nih.

6. nah cara aksesnya http://randomtarget.site/namafile.ext
bisa juga http://randomtarget.site/uploads/namafile.ext
kadang gaketemu juga ke upload dimana wkwk

yaudah mungkin cukup sekian postingan kali ini, ada yang salah mohon dimaafkan, kalo gasuka? jauh jauh sana.

wassalamualaikum.

1 comment


EmoticonEmoticon