File Upload Vulnerability
Unrestricted file upload atau file upload vulnerability adalah masalah pada aplikasi berbasis web. Dimana hacker memungkinkan untuk mengunggah file yang didalamnya terdapat kode berbahaya kemudian dapat dieksekusi di server. Hacker mungkin dapat memasukkan halaman phishing ke dalam situs web atau merusak situs web tersebut. Bahayanya hacker akan mendapat beberapa informasi internal server web kemudian menjualnya untuk mereka yang membutuhkan.
Berikut ini cara melakukan File Upload Vulnerability pada DVWA di kali linux:
- Pertama kita buka dulu website DVWA, melakukan login, dan mengubah security level menjadi low.
2. Kemudian pilih File Upload.
3. Untuk melakukan pengecekkan apakah terdapat celah keamanan file upload dengan membuat file .txt karena file .txt ini tidak akan dicurigai oleh firewall apapun yang melindungi website, disini saya buat file .txt yang isinya seperti yang ada pada gambar dibawah ini.
4. Kemudian saya upload file .txt tadi dan file ngecek.txt berhasil di upload, yang dimana websitenya disini hanya mengizinkan mengupload gambar sedangkan kita mengupload file .txt, jika berhasil mengupload file selain gambar berarti ada celah keamanan pada website tersebut.
5. Kemudian kita cek apakah ada isinya dan ternyata hasilnya seperti yang muncul pada gambar dibawah ini.
6. Kemudian saya ingin mengupload backdoor dengan membuat file .php yang isinya untuk pemanggilan system seperti pada gambar dibawah ini.
7. Kemudian saya coba upload file .php nya dan berhasil di upload.
8. Kemudian kita coba akses backdoor.php nya dengan menambahkan input=ls untuk memunculkan directory yang ada pada server dvwanya atau localhost kita.
9. Kemudian kita coba untuk melihat file users dengan cara seperti yang ada pada gambar dibawah ini.
10. Kemudian kita coba untuk melihat admin.jpg dan berhasil menampilkan isi dari admin.jpg.
Sekian dan Terima Kasih.
