Tan My ID

Cross Site Scripting Files.fm

 

Tags: XSS


Hallo lur, kembali dengan Write Up XSS on file upload. Maksudnya gimana lur? Jadi gini lur, XSS yang akan saya tulis kali ini adalah XSS file upload dimana kita menyisipkan script XSS nya pada nama file gambar tersebut.

Nah target kali ini adalah Files.Fm sekali lagi tidak ada reward kali ini dan saya sudah meminta izin adminnya untuk melakukan Write Up. Untuk mengetahui apa itu Files.fm bisa mengunjungi Link Berikut.

Trik ini hanya berlaku untuk sistem operasi linux, di karenakan windows tidak mengijinkan kita merename dengan karakter < >. Hindari juga pemakaian / sudah pasti tidak di ijinkan

Oke langsung saja, pertama siapkan sebuah gambar apa aja terserah, mau gambar monyet, foto mantan juga boleh hehe. Lalu rename dengan script XSS, misal seperti berikut :

<h2 onmouseover="alert('XSS')">.png

Hasil :

filename.png

Lalu upload file yang sudah di rename tadi

files-fm.png

Setelah di upload, coba sorot bagian image uploadnya dan duarrrr nmex

got-XSS.png

Intinya adalah, kita cuma menambahkan script XSS pada filename nya saja, simple bukan?

Sekian tulisan kali ini, jika ada kesalahan mohon di maafkan. Terima Kasih