FCKeditor Bypass Shell Upload With Burp Suite Intercept

By Minggu, 07 Agustus 2016 Add Comment
FCKeditor Bypass Shell Upload With Burp Suite Intercept - Hai Semua, selamat datang di blog Noob1t4, Pada Artikel yang kalian baca kali ini dengan judul FCKeditor Bypass Shell Upload With Burp Suite Intercept, kami telah mempersiapkan artikel ini dengan baik untuk kalian baca dan ambil informasi didalamnya. mudah-mudahan isi postingan yang kami tulis ini dapat kalian pahami. baiklah, selamat membaca.


Kali ini saya akan share cara melakukan bypass shell upload pada web yang menggunakan FCKeditor. Nah biasanya kan banyak tuh yang share cara deface pake fckeditor, tapi rata rata yang diupload cuma file txt paling mentok ya html. Jadi gak bisa upload php. Pake tamper data juga gagal. Nah disini saya akan share cara bypass uploadnya sehingga kita bisa mengupload file .php .




Pertama yang harus disiapkan adalah Burp Suite dengan Browser yang proxy nya sudah di set ke proxy Burp Suite .



Disini saya anggap kalian sudah mendapat target untuk di exploit. DIsini saya mencoba untuk melakukan bypass pada FCKeditor versi 4.1 dimana kita bisa menentukan Resource Type dan Current Folder nya.



Selanutnya pilih shell yang akan diupload. Shell dalam bentuk .txt .

File Uploader pilih PHP, Resource Type pilih File. Tapi jangan di upload ( Send to the Server ) dulu.



Nah selanjutnya buka Burp Suite, masuk ke menu Proxy lalu set agar Intercept is On.



Selanjutnya balik ke FCKeditor yang tadi lalu upload dengan cara klik Send to the Server.

Maka pada bagian Raw Burp Suite post data nya akan terlihat.





Perhatikan bagian paling atas.


POST /resource/filemanager/connectors/php/upload.php?time=1470636361891Type=FileCurrentFolder=/ HTTP/1.1

Nah kita bypass dengan menambahkan ekstensi shell di bagian Current Folder. ” shell.php[%]00 “.

Contoh nya jadi


Nah selanjutnya klik tombol forward pada Burp Suite.



Sekarang cek kembali di FCKeditor nya. Maka file akan sukses diupload disertai path direktori nya.



Contoh


http://localhost/assets/ckfiles/shu.php�/xxx.txt

Nah sekarang langsung akses ke file shell.php nya.



  • http://localhost/assets/ckfiles/shu.php




Kalau kurang jelas bisa lihat video nya disini :

https://www.youtube.com/watch?v=vHQ3s8GqLN4

Oke sekian artikel sederhana kali ini, semoga bermanfaat. Happy Hacking 😉





Sumber http://noob1t4.blogspot.com/

Artikel Menarik Lainnya:




Sekian Artikel FCKeditor Bypass Shell Upload With Burp Suite Intercept.
Terima kasih telah membaca artikel FCKeditor Bypass Shell Upload With Burp Suite Intercept, mudah-mudahan bisa memberi manfaat untuk kalian semua. Baiklah, sampai jumpa di postingan artikel lainnya.


Semua artikel tutorial di blog ini hanya untuk sebatas Pembelajaran dan Pengetahuan saja, jika kalian meyalahgunakan tutorial di blog ini, itu bukan tanggung jawab saya. Terima kasih sudah berkunjung ke blog Noob1t4, saya harap agan berkunjung kembali kesini

0 Response to "FCKeditor Bypass Shell Upload With Burp Suite Intercept"

Posting Komentar

Langganan: Posting Komentar (Atom)

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel