Subscribe For Free Updates!

We'll not spam mate! We promise.

Monday, June 22, 2015

Adro`iT IBS CMS Admin Bypass Vulnerability

cct  ,  1 comment


Adro iT IBS CMS ADMIN bypass ေလးကလည္း ဘာမွ ခက္ခဲမူ မရွိတဲ့ Vuln ေလး တစ္ခုပါဘဲ..
ဆုိဒ္က ျပန္စတာမၾကာေသးေတာ့ Basic Web Hacking ေတြၾကီး ခ်ေပးေနတာပါ။. ဒါေပမယ့္.. Active
ျဖစ္မယ့္ပာာ ေတြၾကီးခ်ေပးေနတာပါ...
အရင္ဆုံး  Google ကုိသြားလုိက္ပါ..



Link > www.google.com

ျပီး၇င္ေအာက္က Dork ကုိ အစားသြင္းလုိက္ပါ..

Google Drok : intext:Developed By : Adro`iT IBS


About 54,900 results (0.57 seconds) O_o ေသေလာက္တယ္...
ေကာင္းျပီး ၾကိဳက္ရာ Link တစ္ခုသာေကာက္ထုတ္လုိက္ဗ်ာ.. ဥပမာ အေနနဲ ့ေအာက္ကလင့္နဲ ့သြားမယ္..

Link > http://www.shreenkgroup.com/

ဆုိဒ္ေနာက္မွာ.. Admin Login Page ကုိရွာေပးရပါမယ္..  ေအာက္ နည္းလုိ သြားလုိက္ပါ..

Site.com/admin စတုိင္နဲ ့သာသြားလုိက္ပါ.. အာ့ မွ Admin Login မေတြ  ့ဘူးဆုိရင္ Next လုိက္ဗ်ာ
ဆုိဒ္ေတြ ေတာင္လုိပုံက်န္ေနေသးတာဘဲ.. :)

ဒါဆုိရင္ေအာက္ကလင့္လုိ ျဖစ္သြားမယ္..

Link > http://www.shreenkgroup.com/admin/ (site.com/admin)

ျပီး၇င္ Username : Password ေနရာမွာေအာက္ကလုိ ထည့္လုိက္ဗ်ာ..

Username : '=''or'
Password  : '=''or'


 
 Lol.... :  
hak hak ဒါဆုိရင္ေတာ့ Website Admin Page တည္းေရာက္ေနပါျပီ.....
က်န္တာ လုပ္ခ်င္တာလုပ္ေပ့ါဗ်ာ......

ေနာက္ဆက္တြဲနည္းနည္းေျပာခ်င္မိတယ္... Admin bypass ေတြ က Shell တင္ရင္ ျပသနာတတ္တယ္ဆုိတဲ ့အခ်က္ပါဘဲ... ကြ်န္ေတာ္ မျငင္းပါဘူး ပာုတ္ပါတယ္.. ဒါေပမယ့္..
၆၀% က တင္တတ္ရင္ တင္လုိ ့ရပါတယ္... ေအာက္ကလို ဆက္ၾကည့္ရေအာင္..
က်ိန္းေသတာ တစ္ခုကေတာ့ ကြ်န္ေတာ္တုိ ့ Upload ဘယ္အေပါက္က တင္ရမလဲဆုိတာကိုရွာၾကတာပါ။
ကြ်န္ေတာ္ကေတာ့ Slider တည္းကဘဲ တင္လုိက္တယ္.. ေအာက္ကပုံလုိ ေပ့ါဗ်ာ..
Slider Dir Link > http://www.shreenkgroup.com/admin/slider.php?catg=vaadi


 အုိေက... အမ်ားစု သိထားတာက Web Shell ေတြက PHP လုိ ့သိထားတယ္ဒီေတာ့ Php Format ေတြ
နဲ ့ၾကီးတင္ၾကတယ္.. ျပီးေတာ့ Shell တင္မရဘူး ထေအာ္ၾကျပန္ေကာ.... အဲ့လုိ php လုိ ့အသိမ်ားေတာ့
Web Dev ေတြက php format ဆုိ Ban တယ္ Upload တင္ခြင့္ မေပးၾကေတာ့ဘူး ဒီေတာ့..

phtml , php3 , php;jpg , php;gif   etc.... 
အဲ့လုိ အိတ္စတန္းရွင္းေတြ ေျပာင္းျပီး တင္ၾကရတယ္... ဒါမွမပာုတ္ရင္လည္း Temp Data လုိေကာင္ ေတြ
သုံးတင္ရတယ္...  

မသိရင္ Comment ထားခဲ့လုိက္ ဗ်ာ.. ကြ်န္ေတာ္ကေတာ့ msys ဆုိတဲ့ shell ကုိ phtml formate နဲ ့တင္ခ်လုိက္တယ္..ဆက္ရွုိးလုိက္..
Inserted...ဆုိဘဲ က်ိန္းေသေနျပီ Server တည္း Shell ေရာက္သြားတယ္ဆုိတာကုိ...
ဒီေတာ့ ေနာက္တစ္ခ်က္ တုိင္ပတ္ၾကတာက တင္ထားတဲ့ Shell ကုိျပန္ရွာရင္ ရႊာ ပတ္တယ္..
ဒါကလည္းထင္သေလာက္ေတာ့မဆုိးေသးပါဘူး... Website Home Page ကုိသြားလုိက္ပါ..

Link > http://www.shreenkgroup.com/

ျပီး၇င္ Ctrl + U ကုိနုိပ္ျပီး..source code ကုိၾကည့္ပါမယ္...

ျပီးရင္ ကုိ ့ တင္လုိက္တဲ့ Shell ကုိ ျပန္ရွာပါ.. ဒီေနရာမွာေျပာခ်င္တာက ခုတင္လုိက္တာ.. silder ပုိင္းဆုိ
ေတာ့ Silder ဆုိတာ Home Page မွာအသုံးမ်ားလုိ ့ Home Page ကေနရွာလုိက္တာပါ.. တစ္ျခားပုိင္းမွာ
Shell တင္လုိက္မယ္ဆုိရင္ေတာ့ တစ္ျခားပုိင္းသြား၇ွာေပါ့ဗ်ာ.. အဲ ့လုိ ရွာနည္းေတြလည္းေနာက္မွ Blog
တစ္ခု အေနနဲ ့ ေအးေဆး၇ွင္းေပးပါမယ္.. ခုေတာ့ ဆက္ၾကည့္ရေအာင္... msys.phtml ဆုိတဲ့ ဖုိင္ကုိ ၇ွာလုိက္ပါတယ္...

 
အပာ.... ေတြ ့ေနျပီ..
ဒါဆုိ ရင္ Shell ျပန္ေခၚလုိက္ရသြားမယ္...
 Bigo...............

(silder ပုိင္းကုိ ကြ်န္ေတာ္ ေမႊေနာက္မိသြားလုိ ့ error နည္းနည္းထသြားတယ္.. အလားတူေတြပါဘဲ...)

More Demo. : http://www.dhavalacademy.org/

                     http://nyalkaranfuture.com/

Please Give Us Your 1 Minute In Sharing This Post!
SOCIALIZE IT →
FOLLOW US →
SHARE IT →
Powered By: BloggerYard.Com

1 comments:

  1. AnonymousJune 23, 2015 at 8:00 PM

    အကိုေရ။က်ေနာ္ shell တင္တာ အကို႔လိုဘဲ c99.php shell c99.phtml extension ေျပာင္းတင္တာမရလို႕။Sever error

    500-internal sever error
    There is a problem with the resource you are looking for, and it cannot be displayed

    အဲလိုဘဲျပေနတယ္အကို။ေျပာျပပါဦး။

    ReplyDelete

Subscribe to: Post Comments (Atom)

 

Copyright © 2013 Zero Myanmar.

Designed By : Blogger Yard