-
Hai sobat
Saya ikal,
Disini saya akan sharing sharing nih.
-
Disini saya akan publish bug temuan saya ya, Bingung juga mau ngetik apaan, jdi singkat singkat aja ya :D.
Bahan :
- CSRF : https://ambon.bawaslu.go.id/csrfbawas.php
- Dork : inurl:/dokumen/pengumuman/ site:*.bawaslu.go.id
inurl:/dokumen/perbawaslu/ site:*.bawaslu.go.id
inurl:/dokumen/bukusaku/ site:*.bawaslu.go.id
- Shell backdoor
- Akses shell : https://localhost/img/galeri/urshell.php
Pertama - tama, kalian ngedork menggunakan dork diatas. Jika sudah mendapatkan target, kalian cukup salin saja url website target kalian. lalu akses csrf nya.
Paste target kalian di form url, lalu klik button Lock. Jika sudah di lock, kalian tinggal pilih shell kalian dan klik button Send.
Jika sudah klik Send, maka kalian akan diarahkan keurl target kalian dan akan muncul alert yang berisi Gagal.
Tenang, Jika muncul alert Gagal berarti shell telah terupload. Kalian hanya tinggal mengakses shellnya saja. Dan tempat shellnya berada itu di /img/galeri/.
Contoh :
https://localhost/img/galeri/shell.php
Dan ya segini aja untuk artikelnya.
Thanks
See U