Minggu, 31 Juli 2016

Upload Shell di CMS Popoji

Tags

INDONESIANWARE - Pada Artikel yang anda baca kali ini dengan judul Upload Shell di CMS Popoji, kami telah mempersiapkan artikel ini dengan baik untuk anda baca dan ambil informasi didalamnya. mudah-mudahan isi postingan Artikel PHP, Artikel tips, yang kami tulis ini dapat anda pahami. baiklah, selamat membaca.

Judul : Upload Shell di CMS Popoji
link : Upload Shell di CMS Popoji

Baca juga


Upload Shell di CMS Popoji

Okee, dalam artikel kali ini gua akan sedikit membahas tentang POPOJI CMS.
karena lagi ramai"nyaa tentang exploit popoji.

Celah keamanan Popoji sebelumnya sudah di temukan oleh seorang defacer dari indonesia sendiri.
namun, dia dan tim nya ( saya rasa ) hanya berhasil sampai ke login admin dan mengupload file saja (tidak sampai upload backdoor)
ya walaupun begitu, namun usahanya menemukan sebuah celah cukup bisa di ancungi jempol. Karena memang sebelumnya gua pernah mempulbish sedikit tentang POPOJI CMS melalui tutorial membuat sebuah scanner.[http://www.indoxploit.or.id/2015/11/tutorial-membuat-scannerfinder-pada.html]
okeee kita akan bahas disini, bagaimana meng-upload sebuah backdoor di POPOJI CMS

1. Kalian harus sudah mendapatkan akses admin login . [http://www.indoxploit.or.id/2016/07/popoji-cms-add-admin-auto-registration.html]2. Setelah aktivasi dan akun dapat digunakan. Login lah kedalam Dashboard admin.

3. setelah Login, Buka lah URL dimana letak bug/vuln dapat terlihat, yaitu di: http://target.com/po-admin/js/plugins/uploader/upload.php
[
{"jsonrpc" : "2.0", "result" : null, "id" : "id"}
]
jika vuln, akan ada tanda seperti diatas.
4. Kode CSRF: [plupload]
========================================================================
--> http://pastebin.com/2YenMhz3========================================================================
5. simpan kode CSRF diatas dengan ekstensi .html [ex: csrf.html]
6. Bukalah file tersebut.

7. upload lah shell kalian. ingat shell kalian disini yang kalian upload harus ber-ekstensi .jpg [ex: shell.jpg], bukanlah .php, .phtml ataupun yang lainnyaa.
8. jika berhasil . hasil output nya akan sama kyk yang pertama. tidak ada tulisan error sama sekali.
akses shell -> http://target.com/po-content/po-upload/nama_shell_anda-[angka_random]-polibrary.php



*NB: jika folder /po-upload/ tidak forbidden, shell akan mudah ditemukan, jika di forbiden kan . maka kalian akan muter otak sendiri buat cari backdoor kalian. Okee sekian dulu tutorial upload shell di popoji cms nyaa...

Thankss to: TKJ Cyber Art - exploit author- Kefiex404 Defacer Tersakiti Team


Sekianlah artikel Upload Shell di CMS Popoji kali ini, mudah-mudahan bisa memberi manfaat untuk anda semua. baiklah, sampai jumpa di postingan artikel lainnya.

Anda sekarang membaca artikel Upload Shell di CMS Popoji dengan alamat link https://ware-id.blogspot.com/2016/07/upload-shell-di-cms-popoji.html


EmoticonEmoticon