Arbitrary File Upload on Fileuploader

Hallo, 

Kembali lagi di Evil Twin - Blog, Oke pada artikel kali ini Saya ingin memberikan tutorial Deface lagi, Yaitu Deface POC Arbitrary File Upload on Fileuploader.

Fileuploader ini seperti plugins yang berfungsi untuk mengunggah file seperti foto, dokumen dan lain-lain. Nah, dengan fungsi seperti ini maka kemungkinan memiliki celah untuk mengupload Shell Backdoor.

Untuk tutorialnya silahkan baca artikel ini sampai habis.

Mencari Target

Seperti tutorial deface pada umumnya, Deface menggunakan metode ini juga memerlukan target yang akan di deface.

Kamu bisa mencari targetnya menggunakan Google dork dibawah ini:

inurl:/fileuploader/examples/default/
inurl:/fileuploader/examples/default-upload/

Note : Dork diatas dikembangin lagi biar makin banyak target yang terdeface, haha.

Mengupload Shell Backdoor

Jika sudah menemukan target yang akan di Deface, Maka selanjutnya tinggal mengupload Shell Backdoor ke target.

Tap "Choose Files" lalu pilih Shell Backdoor yang ingin di Upload, Jika sudah maka tinggal Tap "Submit"

Jika outputnya seperti gambar di atas itu artinya Shell berhasil terupload, Kita tinggal mengakses Shell nya saja.

Akses Shell

Jika Kamu ingin mengakses Shell Backdoor yang tadi di Upload, Kamu bisa mengaksesnya melalui PATH dibawah ini:

http://target.co/fileuploader/examples/default/uploads/namashell.php

http://target.co/fileuploader/examples/default-upload/uploads/namashell.php

Yapss, Shell berhasil di akses. Sekarang Kamu bisa mengupload file, edit, delete, chmod jika permissionnya writeable, hhaa.

Akhir Kata

Oke mungkin cukup sampai disini aja artikel tentang "Exploit POC Arbitrary File Upload on Fileuploader".

Mohon maaf bila ada kesalahan kata dan sebagainya, Sampai jumpa di artikel selanjutnya!