WordPress Remote File Upload Vulnerability with Asset Manager Hack Websites

Apr 9, '12 9:02 AM for everyone

www.google.com ကိုသြားပါဗ်ာ။

ျပီးတာနဲ႔  ေအာက္မွာျပထားတဲ့ dork အတုိင္းကူးေပါ့ဗ်ာ။

inurl:Editor/assetmanager/assetmanager.asp

သြားျပီးသာ ရွာေဖြေရးလုပ္ေတာ့ deface page ေတာင္လုပ္လုိ႔ရတယ္။ တကယ္လို႔မေက်နပ္ရင္ေလ။

ဒါနဲ႔ ဥပမာျပမယ္ဗ်ာ။ http://trackdata.com.au/Editor/assetmanager/assetmanager.asp?ffilter=image နဲ႔ဥပမာတင္ထားတာပါ။

New Folder ကိုသြားပါ။



ျပီးရင္ New Window နဲ႔လာလိမ့္မယ္။ New Folder Name: မွာ ဘာညာကိြကြထည့္ေနာ္။ ကြ်န္ေတာ္ကေတာ့ Hacked by Cyber Hacker Group (CHG) နဲ႔ေပါ့။ျပီးရင္ Close & Refresh ကို click ပါခင္ဗ်ား။

Assets ထဲကေနရွာၾကည့္လိုက္။ က်ိန္းေသေပၚေနမယ္ဗ်။



ျပီးရင္ အဲ့ Assets ထဲကေန ကိုယ္လုပ္ထားတဲ့ဟာကိုရွာေပါ့ဗ်ာ။ Assets/XXXXXX ေပါ့။ ျပီးတာနဲ႔ Browse ကိုသြားလိုက္ဦး။ ပံုတစ္ပံုကိုရွာျပီး upload လုပ္ေပါ့ (ဒါကဥပမာေနာ္၊ exe, zip, htm, html,jpg,gif,etc....လည္းသံုးလို႔ရေသးပါတယ္ဗ်ာ။)
ျပီးရင္ Upload ကိုသြားေပါ့ဗ်ာ။

ဒီလိုေလးေပါ့။ ေအာင္ျမင္ပါျပီဗ်ာ။

http://trackdata.com.au/Data/NewsFiles/hacked%20by%20cyber%20hacker%20group%20%28chg%29/chg.jpg



တျခားလင့္ေလးေတြနဲ႔လည္းစမ္းႏိုင္ပါေသးတယ္ဗ်ာ။

http://www.pols.nl/Editor/assetmanager/assetmanager.asp
http://www.wsvh2o.nl/Editor/assetmanager/assetmanager.asp
http://egypt-hosts.com/Editor/assetmanager/assetmanager.asp
http://trackdata.com.au/Editor/assetmanager/assetmanager.asp?ffilter=image


စမ္းၾကည့္ေပါ့ဗ်ာ။ ေအာင္ျမင္ပါေစ။