Jumat, 12 Juni 2015

Uploading Shell Using SQL Injection

Tidak ada komentar :


SQLi is a fun thing I thought, cause we can do something cool, like we can make some pop up alert, or using HTML code, and we can make phising concept inside SQL Injection. Thats awesome right? For this time I wanna share about "Uploading Shell Using SQL Injection", all you need is:

  • Your must have write privileges and a writable directory (where you have to upload your shell)
  • Root Path (i.e /var/www/website/ or C:\xampp\blablabla....)
  • Magic Qoutes must be enable
Let's check write permissions?
How to check it?
group_concat(user,0x203a20,file_priv) from mysql.user
So our query will be like this
http://localhost/sqli/vuln.php?id=-1 union select group_concat(user,0x203a20,file_priv) from mysql.user-- -



If say Y after current user, we have an access. Next step is lets write uor uploader using INTO OUTFILEsyntax
'our script in here' INTO OUTFILE "filepath"
You can see uploader in here "Uploader"..and then you can conver it into hexa
http://pastebin.com/PvmxDHTk (Look Here This Code)
And then open it
http://localhost/sqli/uploader.php

And we can see our uploader


 Upload your shell..

And open your shell

# Thanks For You All :D

Rabu, 10 Juni 2015

Penetration Testing Website pertanian.go.id

1 komentar :
Assalamualaikum , Kali ini saya akan membagikan cara meretas website Kementrian Pertanian . Lansung saja ke TKP :

Vulnerable type: Upload File & Bypass Admin SQL Injection

Step satu , kita cari kelemahan pada http://pertanian.go.id/ , ternyata saya tidak menemukan kelemahan pada website tersebut .

Step ke dua , saya coba cari kelemahan nya dengan Google Dork .
Saya menemukan dir yang ada cara untuk Melapor  .

Pada foto diatas , ada tata cara melapor . saya mengikuti tutorial tersebut .
Register terlebih dahulu .

Kemudian saya ke form login , memasukan user dan password yang tadi saya pakai untuk register

Dikarenakan saya tidak mengetahui kemana file yang tadi saya upload , saya mencoba mencari admin panel pada dir tersebut dengan Havij .


saya berhasil menemukan admin panel website tersebut .
sekarang saya mencoba memasukan user dan password yang tadi saya register . dan ternyata tidak bisa .

sekarang saya mencoba melakukan metode yang sebelumnya saya gunakan pada website Pertambangan Myanmar

Yaitu metode DVWA brute force authentication Attack dengan Burp Suite

dan ternyata berhasil masuk :D

kemudian saya klik Download , dan ternyata bukan mendownload , melainkan menampilkan shell kita .

Sekian tutorial dari kami Zer0Security Crew . apabila ada yang dipertanyakan silahkan komentar atau bisa kirim pesan ke xGame1945@gmail.com

Selasa, 09 Juni 2015

Pondok Programmer Gratis

Tidak ada komentar :

Pondok Programmer merupakan suatu tempat pendidikan untuk menyiapkan programmer yang professional, tangguh dan berakhlak mulia. Dengan mengedepankan nilai agama dan intelektulitas yang tinggi, pondok programmer tidak hanya mempelajari hal-hal yang mendasar Dalam ilmu programming dan memberikan pembelajaran terhadap akhlak, bahasa(inggris & arab) dan juga kajian ilmiah islam.

Lokasi : Glondong RT 6 No 10 Wirokerten Banguntapan – Yogyakarta (Selatan Terminal Giwangan / Jalan Imogiri Timur)

1.Laki – Laki
2. Lulus SMA/SMK (Tidak Sedang bekerja atau kuliah dan bukan lulusan S1)
3. Dapat Izin Orang Tua
4. Belum Nikah
5. Max Umur 22 Thn
6. Menyukai/Hobbi terkait dunia programmer
7. WAJIB Memiliki Dasar-Dasar Ilmu Programming. Bagi belum memiliki dasar -dasar bisa mempelajari link ini

Biaya : Gratis , mengapa Gratis ?
Karena Pondok Programmer memfokuskan kepada anak-anak yang kurang mampu secara ekonomi namun mempunyai minat dan bakat dalam bidang IT khususnya pemrograman aplikasi.

10 NILAI TAMBAH AGAR BISA DITERIMA PONDOK PROGRAMMER :
1.Berusaha Memakai OS Linux
2.Berusaha Tidak Memakai Software Bajakan
3.Tahu Dasar2 Ilmu Programming (bisa download di www.pondokprogrammer.com/materi)
4.Menyuka Pelajaran Matematika
5.Mempunyai Prestasi Selama Di Sekolah Atau Di Luar Sekolah
6.Berusaha Tidak Membuat Status Galau/Gak Jelas
7.Wajib Sholat 5 Waktu
8.Berusaha Berteman dengan Orang Baik
9.Berusaha Tidak Sibuk Dengan Pacaran
10.Berusaha Menjadi Anak Yg Berbakti

Klik Saja lansung ke websitenya : http://pondokprogrammer.com/

Senin, 08 Juni 2015

San Diego restaurant's website hacked by United Islamic Cyber Force

Tidak ada komentar :

Pada beberapa saat lalu website San Diego restaurant's diretas oleh United Islamic Cyber Force .
Didalam Fanspage Team tersebut mereka memposting " #OpUSA "

kita tunggu aksi berikutnya dari team tersebut :D

Sidik Jari pada Galaxy S5 Mudah Dikloning

Tidak ada komentar :
SEOUL – Sensor sidik jari yang digunakan dalam seri Samsung Galaxy S5 ternyata dapat dicuri dan dikloning oleh hackers, serta bisa digunakan untuk mengakses data pribadi pengguna, bahkan dimanfaatkan untuk melakukan pembayaran secara mobile.

Sebagaimana dilansir IB Times, Kamis (23/4/2015), dalam konferensi keamanan Rivest-Shamir-Adleman (RSA) yang digelar beberapa waktu lalu, peneliti dari FireEye bernama Tao Wei dan Zhang Yulong membahas serta menunjukkan masalah keamanan terkait sidik jari. Sensor pemindai sidik jari yang digunakan Anda sebagai metode autentikasi pada smartphone ternyata dapat dicuri.

Saat dipromosikan, Samsung menyatakan pembaca sidik jari menunjukkan bahwa tingkat keamanan pada smartphone menjadi meningkat dan lebih personal. Data biometrik akan tersimpan dan terkunci di dalam perangkat, serta terpisah dari informasi lain dalam smartphone untuk memastikan itu tetap aman.

Hal tersebut kini tampaknya ditepis oleh para peneliti dari FireEye. Menurut mereka, sensor sidik jari sangat mudah dicuri dan dikloning. Hacker hanya perlu memonitoring pembaca sidik jari smartphone dan mereka dapat mengambil informasi karena sedang dikirim ke "Trusted Execution Environment" yang menjadi tempat penyimpanan data sidik jari.

"Jika penyerang dapat mematahkan kernel (inti dari sistem operasi Android), meskipun ia tidak dapat mengakses data sidik jari yang disimpan, dia bisa langsung membaca sensor sidik jari setiap saat. Setiap kali Anda menyentuh sensor sidik jari, penyerang bisa mencuri sidik jari Anda,” ujar Zhang kepada Forbes.

Pihak Samsung mengatakan bahwa mereka masih menyelidiki laporan yang mengungkap sidik jari Galaxy S5 dapat dicuri. Sejauh ini mereka juga belum membantah keabsahan penelitian FireEye. Smartphone Galaxy S5 sendiri memiliki pembaca sidik jari yang terintegrasi ke tombol home.

Kamis, 04 Juni 2015

Keuntungan si Peretas meretas komputer anda !

Tidak ada komentar :
Dari Brian Krebs
Kalian pernah mendengar : " buat apa meretas komputer ? "
Banyak para User komputer merasa komputernya sudah aman , buat apa si hacker meretas komputer saya? , dan tidak bisa diretas . < SALAH !!!

Seringkali kita tidak menyadari bila komputer kita telah diretas. Karena umumnya proses-proses diatas dijalankan dalam background process. Yang kita rasakan hanya komputer kita jadi lemot. Ini berlaku juga untuk perangkat mobile. Sekarang smartphone Android menjadi target para hacker. Tentunya kita tidak ingin komputer kita digunakan oleh para hacker. Mari kita amankan komputer kita. Mari ingatkan juga teman-teman, keluarga maupun saudara kita tentang masalah keamanan komputer. Jangan sampai kita jadi korban kejahatan cyber.

Keuntungan Si Hacker Meretas komputer anda :

  • Komputer kita dapat digunakan untuk menyebarkan email scam
  • Komputer kita dapat digunakan untuk menjadi batu loncatan untuk menembus jaringan yang terhubung dengan komputer kita. Jadi korban akan mendeteksi serangan berasal dari alamat IP kita.
  • Sebagai Botnet : komputer kita akan dikontrol oleh sebuah server, dan dipersiapkan untuk menjalankan perintah-perintah yang diinginkan server tersebut. Misalnya untuk melakukan serangan DOS
  • Sebagai Webserver palsu, komputer kita digunakan untuk menjadi server dari web phishing, atau untuk webserver yang menyebarkan malware.
  • Dapat dicuri kontak list yang ada di komputer kita
  • Dapat dilihat webcamnya tanpa sepengetahuan kita
  • Dibajak account Facebook, email dll
  • Diambil licence OS
  • Diambil data online banking. dll
  • Memata matai anda dari kejauhan

Tool Cryptography

Tidak ada komentar :

Unduh Cryptool dari link berikut: https://www.cryptool.org/en/download-ct2-en

Enkripsi Email

Tidak ada komentar :
sering terjadi diantara kita pembobolan Email , nah saya kali ini membagikan salah satu cara agar email kita tidak mudah dimasuki oleh si Peretas .



Software dapat anda download di : http://www.gpg4win.org/download.html


  1. Install program tersebut!
  2. Generate kunci, public key dan private key!
  3. Kirim pesan rahasia ke email teman anda dengan menggunakan public key teman ada!

Latihan keamanan website !

Tidak ada komentar :

Kepada para peserta mata kuliah keamanan jaringan, hari ini kita akan belajar tentang Web Security. Untuk latihan keamanan web, kita akan menggunakan tools DVWA (Damn Vulnerable Web Application). DVWA merupakan sebuah website yang sudah dirancang sedemikian rupa sehingga memiliki banyak celah keamanan. DVWA ini nantinya yang akan kita jadikan target latihan untuk mempelajari keamanan Web. Untuk itu hari ini kalian diminta untuk melakukan instalasi dan konfigurasi DVWA :
  1. DVWA memerlukan XAMPP. Bila kalian belum menginstall XAMPP silahkan unduh dari link berikut https://www.apachefriends.org/index.html . Kemudian Install XAMPP pada Windows anda. Pastikan folder XAMPP terletak di direktori C
  2. Unduh DVWA dari link berikut : http://www.dvwa.co.uk/
  3. unzip file DVWA dan letakkan di folder htdocs (C:/xampp/htdocs )
  4. Jalankan XAMPP! Jalankan file xampp-control. Kemudian klik tombol start pada opsi Apache dan MySQL.
  5. Jalankan browser dan buka halaman http://localhost/dvwa/index.php. Jika tampil error database, abaikan dulu. Yang terpenting adalah DVWA telah dapat diakses dari browser.
  6. Pengaturan DVWA. Masukan URL http://localhost/dvwa/setup.php. Kemudian klik tombol Create / Reset Database.
  7. Bila sudah berhasil create Database, maka buka alamat http://localhost/dvwa Silahkan login dengan Default username : admin ; Default password : password
  8. Bila terjadi error, lakukan modifikasi pada file config.inc.php , edit bagian berikut:
  9. $_DVWA[ ‘db_password’ ] = ‘p@ssw0rd'; kosongkan passwordnya ” sehingga database berhasil dibuat
  10. Konfigurasi DVWA  : set security level – low
untuk yang tidak mengerti cara install DVWA , silahkan lihat video berikut :


Setelah konfigurasi selesai silahkan kerjakan latihan keamanan web berikut:

Lakukan SQL Injection di DVWA: coba 5 script injection yang berbeda.
Lakukan Cross Site-Scripting (XSS-Attack)
Laporkan hasilnya!
Jelaskan apa yang dimaksud dengan OWASP top 10
Have Fun!

Selasa, 02 Juni 2015

Vulnerable Christian CMS

Tidak ada komentar :

# Title : Exploit Joomla Vuln Register
# Author : xGame1945@Gmail.com
# Realese 09/09/2014
# -----------------------------------------------------------------------------
# Hello World !
# Dork : "Site byChristian CMS Web Design"
# POC : http://Website.com/index.php/admin-login.html?view=registration
# Thanks For You All !!!

SQL Server Killer

Tidak ada komentar :
SQL Server Killer by Rehan Manzoor, An Automatic MSSQL Server Take over tool. It works by brute forcing "sa" account, it then enables XP_CMDSHELL and adds a user as an administrator and to "Remote Desktop" group.

Download : https://www.mediafire.com/?3qpat0ya2uxaf59

Web Shell Detector

Tidak ada komentar :
php/python script that helps you find and identify php/cgi(perl)/asp/aspx shells. Web Shell Detector has a "web shells" signature database that helps to identify "web shells" up to 99%.
Download : https://codeload.github.com/emposha/Shell-Detector/zip/master 

Senin, 01 Juni 2015

Penetration Testing Website www.mining.gov.mm

6 komentar :
Assalamualaikum , Kali ini saya akan membagikan cara meretas website Pertambangan Myanmar . Lansung saja ke TKP :

Vulnerable type: MS SQL injection

Step ke satu , saya menemukan halaman admin website dengan menggunakan Havij .



Step ke dua , kita gunakan cara DVWA brute force authentication Attack dengan Burp Suite .



atau saya menggunakan pencarian google untuk mencari Exploit kepada web tsb ..

lihat url paling bawah , saya menggunakan url tsb ..

saya mencoba memasukan =
username : administrator') or ('1'='1
password : administrator') or ('1'='1
wow , dan ternyata saya berhasil memasuki kedalam admin panel website tsb ..
saya mencoba menupload shell asp, ...
dan ternyata berhasil :D

Sekian dan terimakasih ...

Website Pertambangan Myanmar diretas !

Tidak ada komentar :
Setelah website SCTV.co.id , ia kembali meretas website Pertambangan Myanmar
www.mining.gov.mm Adalah website pertambangan myanmar , peretas ini mengaku sebagai " xGame1945 "  .

dia mengganti halaman utama website dengan tulisan " Save Rohingnya , Save Muslim - xGame1945@gmail.com " ... >

siapa lagi yang akan menjadi target yang akan dia retas ? kita tunggu saja aksi berikutnya dari dia .