Home » » Deface dengan KCFinder Upload Vulnerability

Deface dengan KCFinder Upload Vulnerability

Written By Sumitro Aji Prabowo on Minggu, 12 Mei 2013 | 08.45


Pertama kita cari dulu targetnya pake dork di bawah ini:

inurl:kcfinder/browse.php

Okeh setelah dapat targetnya langsung aja kita mulai aksi kita 

Ini contoh targetnya : http://kerkpleinbreda.nl/cms/kcfinder/browse.php

Setelah kita nemuin halaman upload filenya, kita bisa langsung upload file deface kita..

Untuk memanggil file yang telah kita upload bisa menambahkan /upload/files/nama_file_deface setelah /kcfinder/

Contoh : http://kerkpleinbreda.nl/cms/kcfinder/upload/files/index.html

Jika kita ingin mengupload shell, kita tidak bisa mengupload file phpnya begitu saja karena  rata2 ekstensi php dilarang…
Tapi kita bisa coba manipulasi.. Biasa sih pada pake tamper data, 
tapi ada juga cara lain dengan mengubah ekstensi file php kita menjadi .php3, contoh: tommy.php3. 
Mungkin cara yang lain bisa kembangkan lagi cara manipulasi nya.

1 komentar:

Like us on Facebook
Follow us on Twitter
Recommend us on Google Plus