Home / Coding / PHP Arbitrary File Upload Simple Patching
file-upload-patch

PHP Arbitrary File Upload Simple Patching

Saya akan membahas tentang cara simple mempatch PHP Arbitrary File Upload.

PHP Arbitary File Upload Patch

Kebanyakan website yang vuln diupload memiliki garis besar seperti ini:

Contoh simple upload.php file upload.

Contoh form yang dipake dalam file index untuk upload:

Disini tidak ada code yang memfilter upload filetype.
Jadi kita bisa langsung saja upload: shell.php

Patching yg bisa dilakukan adalah menambahkan filter filetype dalam script upload.php
Contohnya:

Untuk “images/gif” bisa diganti dengan “images/jpg” dll…

Kita liat backgound request uploadnya

Hehehe..
Happy Patching..

Silakan ke Forum BinusHacker: http://forum.binushacker.net untuk berdiskusi mangenai Patching 🙂

About ijoo

Check Also

url-shortener-memperpendek-url-binushacker

Source Code URL Shortener 2 Versi – MiniUrlz

Halo kawan, ini postingan pertama saya di Binus Hacker, Disini saya akan share clone script …

9 comments

  1. PERTAMAX… wah…. bener2 Simple Patching..
    😀 makasih kk… ijin share…

  2. ttp jg bisa mas, skarang shell extensinya bisa di ubah jd shell.php.jpg

  3. beda om… kalo kodenya…
    if ($file_extension==’php’){
    echo “This bug has been fixed by iJoo”;
    exit;
    }
    u bisa pake shell.php.jpg

    kalo yang diatas filetype yang dibaca cuma file .gif aja…
    kalo u ganti shell.php.gif dibacanya text/html… 🙂
    ga baca extension.. dia baca content type (alias dalamnya tuh apa)

    ntar gw bikinin cara membypass nya… sante aja kk… disimak aja terus..

  4. he.he 😀
    ini favoritku

  5. hehehe, sip nice info 🙂

  6. meminta char bintang

  7. hehe asyik ni ye

  8. kalau boleh tau, format apa aja ya yang bisa digunaian buat kode2 jahat???

  9. Hello Steven,I am very glad that you returned from the dead. You must be some kind of godly crueatre to be able to do such a thing. If your formula is still available, let all your visitors know. Even the warmists : we sceptics are not people bad enough to wish them evil.

Tinggalkan Balasan

Alamat surel Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *