Tanio

Cross Site Scripting Files Dot Fm

31 Aug 2019

2 min read

pentest xss security file-upload

Introduction

Hallo lur, kembali dengan Write Up XSS on file upload. Maksudnya gimana lur? Jadi gini lur, XSS yang akan saya tulis kali ini adalah XSS file upload dimana kita menyisipkan script XSS nya pada nama file gambar tersebut.

Nah target kali ini adalah Files.Fm sekali lagi tidak ada reward kali ini dan saya sudah meminta izin adminnya untuk melakukan Write Up. Untuk mengetahui apa itu Files.fm bisa mengunjungi Link Berikut.

Important Note

"Trik ini hanya berlaku untuk sistem operasi linux, di karenakan windows tidak mengijinkan kita merename dengan karakter **< >**. Hindari juga pemakaian **/** sudah pasti tidak di ijinkan"

Step by Step

Prepare the File

Oke langsung saja, pertama siapkan sebuah gambar apa aja terserah, mau gambar monyet, foto mantan juga boleh hehe. Lalu rename dengan script XSS, misal seperti berikut :

<h2 onmouseover="alert('XSS')">.png
Renamed file with XSS payload
File yang sudah direname dengan payload XSS

Upload the File

Lalu upload file yang sudah di rename tadi

Upload process
Proses upload file

Trigger the XSS

Setelah di upload, coba sorot bagian image uploadnya dan duarrrr nmex

XSS triggered
XSS berhasil terpicu

Explanation

Intinya adalah, kita cuma menambahkan script XSS pada filename nya saja, simple bukan?

Kesimpulan

Sekian tulisan kali ini, jika ada kesalahan mohon di maafkan. Terima Kasih