Bug Bounty Directory Listing Using DS_Store

 


DS_Store (Desktop Services Store) adalah file berisi informasi setiap file dan jendela pada sebuah folder di Finder. Pada kasus kali ini saya melakukan pentest pada salah satu website yang mengadakan program bug bounty. Btw biasanya web yang memiliki file .DS_Store itu web tipe lama..

Reconnaissance

Saya melakukan Fuzzing Directory dengan Dirsearch. Hal yang sangat normal bahkan suatu keharusan pada tahapan Penetration Testing. Untuk command yang saya gunakan adalah sebagai berikut


Exploitasi

1.Download /.DS_Store dengan pergi ke laman https://targetmu.com/.DS_Store

2.Masuk ke online DStore Decode Online .DS_Store Parser (internetwache.org)

3.Upload File .DS_Store ke website decoder tersebut

Terlihat ada beberapa file dan beberapa folder

4.Masuk ke salah satu folder tersebut dan tambahkan .DS_Store pada akhir Directory

contoh: https://targetmu.com/apps/.DS_Store

Dengan ini kita dapatkan isi file dari folder yang ada pada web target tersebut.


Catatan: Hanya anggota dari blog ini yang dapat mengirim komentar.