Cross Site Scripting Files Dot Fm

Hallo lur, kembali dengan Write Up XSS on file upload. Maksudnya gimana lur? Jadi gini lur, XSS yang akan saya tulis kali ini adalah XSS file upload dimana kita menyisipkan script XSS nya pada nama file gambar tersebut.

Nah target kali ini adalah Files.Fm sekali lagi tidak ada reward kali ini dan saya sudah meminta izin adminnya untuk melakukan Write Up. Untuk mengetahui apa itu Files.fm bisa mengunjungi Link Berikut.

"Trik ini hanya berlaku untuk sistem operasi linux, di karenakan windows tidak mengijinkan kita merename dengan karakter **< >**. Hindari juga pemakaian **/** sudah pasti tidak di ijinkan"

Oke langsung saja, pertama siapkan sebuah gambar apa aja terserah, mau gambar monyet, foto mantan juga boleh hehe. Lalu rename dengan script XSS, misal seperti berikut :

<h2 onmouseover="alert('XSS')">.png

Hasil :

Lalu upload file yang sudah di rename tadi

Setelah di upload, coba sorot bagian image uploadnya dan duarrrr nmex

Intinya adalah, kita cuma menambahkan script XSS pada filename nya saja, simple bukan?

Sekian tulisan kali ini, jika ada kesalahan mohon di maafkan. Terima Kasih