free website hit counter Memanfaatkan 'Error' Untuk Exploit Arbitrary File Upload Dengan CSRF - Blogpongo

Memanfaatkan ‘Error’ Untuk Exploit Arbitrary File Upload Dengan CSRF

Halo semuanya selamat datang lagi blogpongo, di artikel kali ini saya ingin membagikan cara Memanfaatkan Error Untuk Exploit Arbitrary File Upload Dengan CSRF.

Singkat saja saya tidak ingin memperjelasnya secara rinci tentang arbitrary file upload, csrf dan lain lain karena saya yakin yang membaca artikel ini adalah para pemain pro player dunia defacer.

  • Pertama kalian bisa dorking menggunakan dork berikut

intext:”Notice: Undefined index: Filedata” (nah untuk filedata bisa dirubah dengan postfile lainnya seperti userfile,file[],qqfile dll.)

  • kedua ketika kalian sudah mendapatkan target situsnya, maka akan muncul seperti gambar berikut dan menampilkan beberapa error. (error berbeda beda).
  • Dari error disana saya mendapatkan variabel “filedata” dimana variabel ini biasanya digunakan pada form upload, jadi saya mencoba melakukan exploit dengan csrf (https://blogpongo.com/csrf.php)
  • dan benar saja berhasil di exploit dan file saya terupload, seperti gambar di atas memunculkan output success.
  • dan shell sukses terupload.

Kesimpulan

Kesimpulan dari artikel ini kita bisa memanfaatkan error pada file upload yang selanjutnya bisa di-exploit dengan csrf, wajib dipastikan kalo errornya memang untuk mengupload file.

live target saya : http://feelcloud.co.kr/controller/uploads_engfilename_dev.php

0 Shares

3 Comments

Add a Comment

Your email address will not be published. Required fields are marked *