jQuery File Upload Vulnerability

Hallo, 

Oke pada artikel kali ini Saya ingin memberikan Tutorial Deface POC Jquery file upload atau biasa di singkat JFU. Metode ini sebenernya metode lama namun sampai sekarang masih banyak website-website yang vuln.

Oke langsung aja ke tutorialnya.

Mencari Target

Seperti biasa, tahap pertama adalah mencari target. Kalian bisa dorking menggunakan dork dibawah ini.

inurl:/server/php/
inurl:/assets/global/plugins/jquery-file-upload/server/php
inurl:/jquery-file-upload/server/php
inurl:/admin/jquery-file-upload/server/php
inurl:/jquery-file-upload2/server/php
inurl:/template/jq-upload/server/php/

Note : Kembangin lagi dork diatas menggunakan imajinasi Kalian.

Ciri-Ciri Website Yang Vuln

Ciri-ciri website yang vuln akan menampilan semua file yang ada pada directory (/server/php/files) seperti ini.

Kalau tidak ada file di directory (/server/php/files) biasanya hanya blank dll.

Upload Shell

Setelah mendapatkan website yang menurut Kalian vuln, Maka selanjutnya adalah mencoba mengupload shell di website tersebut menggunakan CSRF, Disini Saya menggunakan CSRF Online ya.

Masukkan seperti gambar diatas, Jangan sampe salah. Kalo salah nggak bakalan bisa Upload shell. Tap Lock nantinya akan ada Uploader seperti ini.

Selanjutnya pilih Shell yang ingin Kalian Upload dan Tap Upload. Jika Shell berhasil ter-upload, Maka akan ada output seperti ini.

Kalo muncul output seperti gambar diatas, Tinggal salin dan tempelkan aja deh di browser, seperti ini.

Yapsss, Shell berhasil diakses. Sekarang Kalian bebas mau ngapain aja disitu (Upload, edit, rename, delete etc).

Akhir Kata

Oke mungkin cukup sampai disini aja artikel tentang "Deface POC jQuery File Upload - Upload Shell".

Mohon maaf bila ada kesalahan kata dan sebagainya, Mohon dimaklumi karena Saya juga masih tahap belajar.

Semoga bermanfaat dan Sampai jumpa di artikel selanjutnya!