Tekhnik Remote File Upload Opencart (Deface)

Mendeface Web dengan Remote File Upload Opencart sangatlah mudah, mengapa dikatakan mudah, karena kita tinggal mencari vuln atau kelemahan web nya saja, tanpa harus mencari “username” dan “password” admin nya.  Jadi intinya, cara kerjanya yaitu mengupload sebuah file dengan menggukanan kelemahan suatu web..

1.  Tentunya kita memerlukan Dork untuk mencari targetnya
      Dork : Powered By OpenCart site:com

2.  Setelah itu kita membutuhkan POC
     POC : admin/view/javascript/fckeditor/editor/filemanager/connectors/test.html

3.  Setelah ketemu Targetnya
     Contoh : http://www.wiretek.net/

4.  Kita Inject Exploitnya dengan POC diatas, sehingga jadinya seperti ini :
     http://wiretek.net/admin/view/javascript/fckeditor/editor/filemanager/connectors/test.html

5.  Maka akan muncul sebuah tampilan

6.  Ganti  connectornya menjadi  dari ASP menjadi PHP

7.  Upload File Tampilan Deface kita (*.html  atau *.htm)

8.  Jika berhasil maka ada bacaan alert seperti ini "file uploaded with no errors"

9.  Untuk melihat apakan berhasil di upload atau tidak kita ke "Get Folders and Files" dan lihat hasilnya.

10. Jika berhasil kamu tinggal masukin nama file deface kamu di blakang site nya,,
      Hasil : http://www.wiretek.net/luqmanCyber.html


sumber : https://www.facebook.com/groups/typicore