Jumat, 24 April 2015

vlunerability CKfinder 1.4.1.1

apa itu CKfinder , itu adalah sebuah aplikasi from untuk menginputkan file ,atau bisa disebut juga sebagai aplikasi file manager ,munculnya aplikassi  ini sangat membantu dibidang website
untuk mengelola file namun dengan aplikasi ini website juga bisa mendapat
efek yang buruk ,salah satunya di uploadnya file file yang sangat menganggu oleh orang lain
pada CKfinder versi 1.4.1.1 masih di temui bug tersebut
anda dapat melihat ada sebuah situ diatas yang masih mengunakan CKfinder ,namun pada bagian direktori ckfinder nya tidak di protect dengan index ,sehingga kita dapat melihatnya dan masuk ke ckfinder.html

namun jika kita ingin mengupload file yang diizinkan oleh filternya hanya sedikit ,php ,html .asp dll
tidak diizinkan ,hanya file yang tidak berbahaya saja yang bisa di upload
seperti txt,docx,swf dll mp3 juga bisa  :v


langkah pertama adalah kita masuk ke direktori ckfindernya ,seharusnya daerah ini di masukan index.html atau index.php ,sehingga orang lain tidak dapat melihat isi direktori ini ,nah setelah itu klik ckfinder.html
disana akan ada bagian untuk mengupload data

gambar diatas menunjukan kalo saya udah upload file nya
memang file yang diupload hanya file swf saja ,kalo file yang di upload php tentunya
dapat merugikan namun jika di tamper data mengunakan firefox saya belum ,coba


hasilnya dapat dibuka lewat direktori ini
http://www.chemseal.co.il/ckfinder/userfiles/flash/chulisdev.swf


tentunya itu hanya segelitir bug yang ada didunia maya , kalo anda mengira saya hacker
dengan memberikan artikel ini ,itu  salah besar ,saya hanya anak muda yang suka berbagi dan mencintai IT ,nah kalo mau belajar penetrasi harus dari dasarnya jangan langsung ujuk ujuk cari aplikasi nya

"jangan menjadi tipikal orang instan ,yang mengunakan aplikasi orang lain dan membagakan nya "

ckeditor memang bug yang udah lama namun masih banyak web yang belum update bug nya

contohnya ini
http://www.lukoilmarine.com/ckfinder/userfiles/flash/chulisdev.swf


sekian ,
wasalamualaikum ;)

Tidak ada komentar:

Posting Komentar