0

Inject WebFile dengan DNN(Dot Net Nuke) Xploit

Selasa, 13 Desember 2011
Share this Article on :
Yang mesti di siapkan adalah :

1. Browser favorite ente, (kalo ane pake mozilla).
2. NotePad..
3. Kejelian (Ini yang penting).
4. Rokok Sebungkus + Segelas Lemon Tea..

Lanjut.. Pertama kita akan mencari target dulu..
buka browser ente, lalu buka google.
ketikkan perintah/Dork yang masih segar ini sebagai berikut :
Code: Select all
inurl:"/portals/0"

Imagecontoh seperti pada screenshot di bawah :

target ane seperti screenshot di atas merupakan salah satu website dari negeri jiran..
(google.com.my emang asoy-ngeboy)..

Buka homepage dari website/target di atas.Lalu periksa setiap gambar yang terletak Pada path :
Code: Select all
/portal/0/
copy dan periksa lokasi/alamat gambar tersebut dan simpan di notepad..

Sebagai contoh panduan target ane di :
Code: Select all
http://www.metrodriving.com.my/

Kita cari beberapa file yang paling mudah dulu, contohnya seperti file2 gambar seperti banner,dll..
Dalam kasus ini, ane copy salah satu alamat url gambar yang ada pada halaman ini :
Code: Select all
http://www.metrodriving.com.my/Home/tabid/110/Default.aspx

jika pada browser Mozilla, arahkan kursor ke gambar. Lalu klik kanan, dan “copy image location”. Nah, muncullah alamat berikut :
Code: Select all
http://www.metrodriving.com.my/Portals/0/MDA/b.JPG
Copy-Paste ke notepad url2 image di atas ke notepad. Sekarang nama file gambar saat ini b.JPG.

Selanjutnya, siapkan sebuah gambar baru yang akan kita gunakan untuk menginjeksi/menimpa file yang telah ada. lalu ubah nama gambar baru tersebut dengan nama dan ekstensi yang sama.
Contoh lihat seperti di atas, file tersebut bernama&berekstensi b.JPG. jadi file gambar yang akan kita upload nanti harus bernama+ekstensi yang sama..

Sekarang saatnya kita melakukan tahap2 untuk mengeksploitasi. coba masukkan url berikut :
Code: Select all
/Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx

Cukup copy paste path di atas sehingga menjadi seperti ini :
Code: Select all
http://www.WebsiteTarget.com/Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx

Dalam kasus ini, ane pastekan linknya target kita tadi sebagai berikut :
Code: Select all
http://www.metrodriving.com.my/Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx

lalu muncullah : Image
Image

Seperti gambar di atas, ada tiga pilihan pada “Link-Type”..
karena yang bakal injek adalah gambar depannya,
maka pilih pada pilihan ketiga pada “Link-Type” nya. kita pilih file b.JPG..
Setelah memilih pilihan ketiga tersebut "File (A File From Your Site)", ganti URL di bar dgn script di bawah ini :
Code: Select all
javascript: __doPostBack ('$ ctlURL cmdUpload','')

Image
Image

Lalu Tekan Enter……
Wewww…Setelah menjalankan script java di atas, kita akan melihat pilihan untuk Upload file seperti screenshot di bawah :
Image

Terakhir..Pastikan ente telah merubah namafile+ekstensinya menjadi b.JPG seperti yang telah ane sebutkan sebelumnya di atas, lalu upload lah file tersebut..
Jika sudah, buka homepage dimana lokasi gambar tersebut seperti yang ane lakukan di atas.
Hasilnya :
Code: Select all
http://www.metrodriving.com.my/Home/tabid/110/Default.aspx
http://www.metrodriving.com.my/Portals/0/MDA/b.JPG
Image

Demikian tutorial cupu dan sederhana dari ane..


Artikel Terkait:

0 komentar:

Posting Komentar