cara Deface POC Responsive File Manager
mazapip.blogspot.com - Ohayo Kembali Bersama Gua Maz Apip Selamat datang di Maz Apip - Blog, Oke pada artikel kali ini Saya ingin memberikan tutorial deface lagi yaitu Cara Deface Poc Responsive File Manager atau biasa disebut RFM.
Metode ini sebenarnya udah ada sejak lama, tapi masih sangat banyak sekali website-website yang menggunakan RFM untuk mengelola file ataupun folder di dalam websitenya, Padahal sangat rentan sekali dijahili oleh para depeser ( Upload shell )
Oke langsung aja ke tutorialnya.
Mencari Target
Seperti tutorial deface pada umumnya, Tahap pertama yang harus Kamu lakukan adalah mencari target. Kamu bisa mencari targetnya menggunakan Google dork dibawah ini:
inurl:/filemanager/dialog.php
inurl:/weven_asset/filemanager/dialog.php
inurl:/assets/filemanager/dialog.php
inurl:/filemanager intext:"dialog.php"
Note : Kembangin lagi biar dapat banyak website vuln.
Upload Shell
Jika sudah menemukan target, Maka tahap selanjutnya tinggal mencoba mengupload shell backdoor. Kebanyakan website akan menolak jika user mengunggah file yang bisa merusak website itu sendiri, Contohnya : php, phtml, aspx (Jika suppport) dan masih banyak lagi.
Disitu Saya mencoba mengunggah 2 file yaitu eviltwin.php dan fadly.phtml, Terlihat jelas penolakan kedua extensi ini dari output 허용되지 않는 확장자입니다. jika di translate menggunakan bahasa Indonesia adalah Ekstensi tidak diizinkan.
Nah, untuk mengakali ini Saya menemukan cara agar file tersebut bisa masuk/ter-upload ke website target yaitu dengan inject filename. Bagaimana caranya? sangat mudah, Kamu hanya perlu mengganti extensi shell Kamu menjadi : shellname.php<?.jpg
Coba Rename Dengan Memakai Teks editor
Outputnya beda sama yang tadi, Coba cek filenya berhasil terupload atau nggak.
File berhasil masuk yaaa, extensi nya juga berubah menjadi .php, Tinggal akses aja deh shellnya.
Akhir Kata
Oke mungkin cukup sampai disini aja artikel tentang Cara Deface POC Responsive File Manager (RFM)
Mohon maaf bila ada kesalahan kata dan Sebagainya, Mohon dimaklumi karena Saya juga masih dalam tahap belajar.
Semoga bermanfaat dan Sampai jumpa di artikel selanjutnya!