free website hit counter Deface Metode Elfinder Pada Framwork Laravel - Blogpongo

Deface Metode Elfinder Pada Framwork Laravel

Halo semuanya selamat datang di blogpong, kali ini saya akan memberikan tutorial kembali bertema deface lebih tepatnya cara deface metode Elfinder Pada framework laravel.

Yup beberapa hari lalu saya baru tau jika elfinder bisa di pakai di laravel, dari sana saya mengumpulkan list laravel dan melakukan scanning apakah ada elfinder filemanagernya atau tidak dan ternyata banyak juga.

Jadi saya memutuskan untuk mempublikasikannya di blogpongo ini sebagai catatan pribadi saya dimasa depan dan untuk pembalajaran deface metode elfinder.

Detail Poc Laravel Elfinder Shell Upload

  • Exploit Title: Laravel Elfinder Shell Upload
  • Date: 10/05/2020
  • Exploit Author: Blogpongo (kalau ada yang lebih tau duluan tulis di komentar sertakan link refferensi)
  • Laravel Framework : https://laravel.com
  • Elfinder Laravel : https://github.com/barryvdh/laravel-elfinder
  • Category: webapps

Yups itu adalah singkat detail dari poc ini, mohon baca yang dalam kurung

Google Dork Elfinder Laravel Shell Upload

Dan berikut ini adalah beberapa dork yang bisa digunakan

  • inurl:/laravel-elfinder/ “index Of”
  • inurl:barryvdh/laravel-elfinder

Selebihnya silakan kembangkan lagi dengan imajinasi heker kalian hehe

Payload / Exploit Elfinder Laravel Shell Upload

dan berikut adalah payload untuk exploit atau lebih tepatnya directory elfinder pada framework laravel

  • site.com/elfinder/

Proof Of Concept Laravel Elfinder Shell Upload

  • Seperti biasa kalian dorking dahulu dengan google / duduckgo dengan dork di atas.
  • Jika sudah menemukan target kalian bisa memasukan dimana path / folder elfindernya site.com/elfinder
Deface Metode Elfinder terbaru
  • Dan jika vuln akan muncul file manager elfindernya dan silakan kalian upload shell / script kalian

Akses Shell / Script Laravel Elfinder

untuk mengaksesnya cukup mudah sekali kalian bisa dengan cara mengklik kanan dan get info saja.

Kesimpulan

Kesimpulan dari tutorial ini adalah metode ini sangat udah dan sederhana (tingal klik klik) dan untuk upload shell tergantung dari file yang di ijinkan pada elfinder karena berbeda beda ada yang support php / phtml / html dan ada yang di filter.

Referensi

Live Target

Dan beriku ini livetarget biar gak di kira boong heheh

Penyemangat

Dengan metode ini saya kurang lebih mendapatkan 350 website, hahah

Corat Coret Gabut

Bang kok bisa dapat banyak ? jadi gua ngumpulin list laravel sebanyak mungkin habis itu cek header responnya secara masal.

kalo respon 200 berarti kemungkinan besar ada elfindernya. kalau resposn double kaya 302 > 200 (gak ada) pegel.

Mana gak semua bisa upload shell dari 350 itu.

Tambahan

Jika kalian berhasil mengupload webshell saran saya jangan di tebas indexnya mending jual ke saya

Need WEBSHELL for seo minimal da 31+ (domain authority ) berikut list hargnya

  • 31-50 = $5
  • 51-65 = $10
  • 66+ = $15-20

Dengan syarat webshell kalian fresh bukan bekasan, silakan hubungi saya di facebook : https://facebook.com/esevenbid

0 Shares

Add a Comment

Your email address will not be published. Required fields are marked *