Jumat, 12 Juni 2015
Uploading Shell Using SQL Injection
SQLi is a fun thing I thought, cause we can do something cool, like we can make some pop up alert, or using HTML code, and we can make phising concept inside SQL Injection. Thats awesome right? For this time I wanna share about "Uploading Shell Using SQL Injection", all you need is:
- Your must have write privileges and a writable directory (where you have to upload your shell)
- Root Path (i.e /var/www/website/ or C:\xampp\blablabla....)
- Magic Qoutes must be enable
How to check it?
group_concat(user,0x203a20,file_priv) from mysql.userSo our query will be like this
http://localhost/sqli/vuln.php?id=-1 union select group_concat(user,0x203a20,file_priv) from mysql.user-- -
If say Y after current user, we have an access. Next step is lets write uor uploader using INTO OUTFILEsyntax
'our script in here' INTO OUTFILE "filepath"You can see uploader in here "Uploader"..and then you can conver it into hexa
http://pastebin.com/PvmxDHTk (Look Here This Code)And then open it
http://localhost/sqli/uploader.php
And we can see our uploader
Upload your shell..
And open your shell
# Thanks For You All :D
Rabu, 10 Juni 2015
Penetration Testing Website pertanian.go.id
Assalamualaikum , Kali ini saya akan membagikan cara meretas website Kementrian Pertanian . Lansung saja ke TKP :Vulnerable type: Upload File & Bypass Admin SQL Injection
Step satu , kita cari kelemahan pada http://pertanian.go.id/ , ternyata saya tidak menemukan kelemahan pada website tersebut .
Step ke dua , saya coba cari kelemahan nya dengan Google Dork .
Saya menemukan dir yang ada cara untuk Melapor .
Pada foto diatas , ada tata cara melapor . saya mengikuti tutorial tersebut .
Register terlebih dahulu .
Kemudian saya ke form login , memasukan user dan password yang tadi saya pakai untuk register
Dikarenakan saya tidak mengetahui kemana file yang tadi saya upload , saya mencoba mencari admin panel pada dir tersebut dengan Havij .
saya berhasil menemukan admin panel website tersebut .
sekarang saya mencoba memasukan user dan password yang tadi saya register . dan ternyata tidak bisa .
sekarang saya mencoba melakukan metode yang sebelumnya saya gunakan pada website Pertambangan Myanmar
Yaitu metode DVWA brute force authentication Attack dengan Burp Suite
dan ternyata berhasil masuk :D
kemudian saya klik Download , dan ternyata bukan mendownload , melainkan menampilkan shell kita .
Sekian tutorial dari kami Zer0Security Crew . apabila ada yang dipertanyakan silahkan komentar atau bisa kirim pesan ke xGame1945@gmail.com
Selasa, 09 Juni 2015
Pondok Programmer Gratis
Lokasi : Glondong RT 6 No 10 Wirokerten Banguntapan – Yogyakarta (Selatan Terminal Giwangan / Jalan Imogiri Timur)
1.Laki – Laki
2. Lulus SMA/SMK (Tidak Sedang bekerja atau kuliah dan bukan lulusan S1)
3. Dapat Izin Orang Tua
4. Belum Nikah
5. Max Umur 22 Thn
6. Menyukai/Hobbi terkait dunia programmer
7. WAJIB Memiliki Dasar-Dasar Ilmu Programming. Bagi belum memiliki dasar -dasar bisa mempelajari link ini
Biaya : Gratis , mengapa Gratis ?
Karena Pondok Programmer memfokuskan kepada anak-anak yang kurang mampu secara ekonomi namun mempunyai minat dan bakat dalam bidang IT khususnya pemrograman aplikasi.
10 NILAI TAMBAH AGAR BISA DITERIMA PONDOK PROGRAMMER :
1.Berusaha Memakai OS Linux
2.Berusaha Tidak Memakai Software Bajakan
3.Tahu Dasar2 Ilmu Programming (bisa download di www.pondokprogrammer.com/materi)
4.Menyuka Pelajaran Matematika
5.Mempunyai Prestasi Selama Di Sekolah Atau Di Luar Sekolah
6.Berusaha Tidak Membuat Status Galau/Gak Jelas
7.Wajib Sholat 5 Waktu
8.Berusaha Berteman dengan Orang Baik
9.Berusaha Tidak Sibuk Dengan Pacaran
10.Berusaha Menjadi Anak Yg Berbakti
Klik Saja lansung ke websitenya : http://pondokprogrammer.com/
Senin, 08 Juni 2015
San Diego restaurant's website hacked by United Islamic Cyber Force
Pada beberapa saat lalu website San Diego restaurant's diretas oleh United Islamic Cyber Force .
Didalam Fanspage Team tersebut mereka memposting " #OpUSA "
kita tunggu aksi berikutnya dari team tersebut :D
Sidik Jari pada Galaxy S5 Mudah Dikloning
SEOUL – Sensor sidik jari yang digunakan dalam seri Samsung Galaxy S5 ternyata dapat dicuri dan dikloning oleh hackers, serta bisa digunakan untuk mengakses data pribadi pengguna, bahkan dimanfaatkan untuk melakukan pembayaran secara mobile.Sebagaimana dilansir IB Times, Kamis (23/4/2015), dalam konferensi keamanan Rivest-Shamir-Adleman (RSA) yang digelar beberapa waktu lalu, peneliti dari FireEye bernama Tao Wei dan Zhang Yulong membahas serta menunjukkan masalah keamanan terkait sidik jari. Sensor pemindai sidik jari yang digunakan Anda sebagai metode autentikasi pada smartphone ternyata dapat dicuri.
Saat dipromosikan, Samsung menyatakan pembaca sidik jari menunjukkan bahwa tingkat keamanan pada smartphone menjadi meningkat dan lebih personal. Data biometrik akan tersimpan dan terkunci di dalam perangkat, serta terpisah dari informasi lain dalam smartphone untuk memastikan itu tetap aman.
Hal tersebut kini tampaknya ditepis oleh para peneliti dari FireEye. Menurut mereka, sensor sidik jari sangat mudah dicuri dan dikloning. Hacker hanya perlu memonitoring pembaca sidik jari smartphone dan mereka dapat mengambil informasi karena sedang dikirim ke "Trusted Execution Environment" yang menjadi tempat penyimpanan data sidik jari.
"Jika penyerang dapat mematahkan kernel (inti dari sistem operasi Android), meskipun ia tidak dapat mengakses data sidik jari yang disimpan, dia bisa langsung membaca sensor sidik jari setiap saat. Setiap kali Anda menyentuh sensor sidik jari, penyerang bisa mencuri sidik jari Anda,” ujar Zhang kepada Forbes.
Pihak Samsung mengatakan bahwa mereka masih menyelidiki laporan yang mengungkap sidik jari Galaxy S5 dapat dicuri. Sejauh ini mereka juga belum membantah keabsahan penelitian FireEye. Smartphone Galaxy S5 sendiri memiliki pembaca sidik jari yang terintegrasi ke tombol home.
Kamis, 04 Juni 2015
Keuntungan si Peretas meretas komputer anda !
Dari Brian Krebs
Kalian pernah mendengar : " buat apa meretas komputer ? "
Banyak para User komputer merasa komputernya sudah aman , buat apa si hacker meretas komputer saya? , dan tidak bisa diretas . < SALAH !!!
Seringkali kita tidak menyadari bila komputer kita telah diretas. Karena umumnya proses-proses diatas dijalankan dalam background process. Yang kita rasakan hanya komputer kita jadi lemot. Ini berlaku juga untuk perangkat mobile. Sekarang smartphone Android menjadi target para hacker. Tentunya kita tidak ingin komputer kita digunakan oleh para hacker. Mari kita amankan komputer kita. Mari ingatkan juga teman-teman, keluarga maupun saudara kita tentang masalah keamanan komputer. Jangan sampai kita jadi korban kejahatan cyber.
Keuntungan Si Hacker Meretas komputer anda :
- Komputer kita dapat digunakan untuk menyebarkan email scam
- Komputer kita dapat digunakan untuk menjadi batu loncatan untuk menembus jaringan yang terhubung dengan komputer kita. Jadi korban akan mendeteksi serangan berasal dari alamat IP kita.
- Sebagai Botnet : komputer kita akan dikontrol oleh sebuah server, dan dipersiapkan untuk menjalankan perintah-perintah yang diinginkan server tersebut. Misalnya untuk melakukan serangan DOS
- Sebagai Webserver palsu, komputer kita digunakan untuk menjadi server dari web phishing, atau untuk webserver yang menyebarkan malware.
- Dapat dicuri kontak list yang ada di komputer kita
- Dapat dilihat webcamnya tanpa sepengetahuan kita
- Dibajak account Facebook, email dll
- Diambil licence OS
- Diambil data online banking. dll
- Memata matai anda dari kejauhan
Enkripsi Email
sering terjadi diantara kita pembobolan Email , nah saya kali ini membagikan salah satu cara agar email kita tidak mudah dimasuki oleh si Peretas .Software dapat anda download di : http://www.gpg4win.org/download.html
- Install program tersebut!
- Generate kunci, public key dan private key!
- Kirim pesan rahasia ke email teman anda dengan menggunakan public key teman ada!
Latihan keamanan website !
Kepada para peserta mata kuliah keamanan jaringan, hari ini kita akan belajar tentang Web Security. Untuk latihan keamanan web, kita akan menggunakan tools DVWA (Damn Vulnerable Web Application). DVWA merupakan sebuah website yang sudah dirancang sedemikian rupa sehingga memiliki banyak celah keamanan. DVWA ini nantinya yang akan kita jadikan target latihan untuk mempelajari keamanan Web. Untuk itu hari ini kalian diminta untuk melakukan instalasi dan konfigurasi DVWA :
- DVWA memerlukan XAMPP. Bila kalian belum menginstall XAMPP silahkan unduh dari link berikut https://www.apachefriends.org/index.html . Kemudian Install XAMPP pada Windows anda. Pastikan folder XAMPP terletak di direktori C
- Unduh DVWA dari link berikut : http://www.dvwa.co.uk/
- unzip file DVWA dan letakkan di folder htdocs (C:/xampp/htdocs )
- Jalankan XAMPP! Jalankan file xampp-control. Kemudian klik tombol start pada opsi Apache dan MySQL.
- Jalankan browser dan buka halaman http://localhost/dvwa/index.php. Jika tampil error database, abaikan dulu. Yang terpenting adalah DVWA telah dapat diakses dari browser.
- Pengaturan DVWA. Masukan URL http://localhost/dvwa/setup.php. Kemudian klik tombol Create / Reset Database.
- Bila sudah berhasil create Database, maka buka alamat http://localhost/dvwa Silahkan login dengan Default username : admin ; Default password : password
- Bila terjadi error, lakukan modifikasi pada file config.inc.php , edit bagian berikut:
- $_DVWA[ ‘db_password’ ] = ‘p@ssw0rd'; kosongkan passwordnya ” sehingga database berhasil dibuat
- Konfigurasi DVWA : set security level – low
Setelah konfigurasi selesai silahkan kerjakan latihan keamanan web berikut:
Lakukan SQL Injection di DVWA: coba 5 script injection yang berbeda.
Lakukan Cross Site-Scripting (XSS-Attack)
Laporkan hasilnya!
Jelaskan apa yang dimaksud dengan OWASP top 10
Have Fun!
Selasa, 02 Juni 2015
Vulnerable Christian CMS
# Title : Exploit Joomla Vuln Register
# Author : xGame1945@Gmail.com
# Realese 09/09/2014
# -----------------------------------------------------------------------------
# Hello World !
# Dork : "Site byChristian CMS Web Design"
# POC : http://Website.com/index.php/admin-login.html?view=registration
# Thanks For You All !!!
SQL Server Killer
SQL Server Killer by Rehan Manzoor, An Automatic MSSQL Server Take over tool. It works by brute forcing "sa" account, it then enables XP_CMDSHELL and adds a user as an administrator and to "Remote Desktop" group.Download : https://www.mediafire.com/?3qpat0ya2uxaf59
Web Shell Detector
php/python script that helps you find and identify php/cgi(perl)/asp/aspx shells. Web Shell Detector has a "web shells" signature database that helps to identify "web shells" up to 99%.Download : https://codeload.github.com/emposha/Shell-Detector/zip/master
Senin, 01 Juni 2015
Penetration Testing Website www.mining.gov.mm
Assalamualaikum , Kali ini saya akan membagikan cara meretas website Pertambangan Myanmar . Lansung saja ke TKP :Vulnerable type: MS SQL injection
Step ke satu , saya menemukan halaman admin website dengan menggunakan Havij .
atau saya menggunakan pencarian google untuk mencari Exploit kepada web tsb ..
saya mencoba memasukan =
username : administrator') or ('1'='1
password : administrator') or ('1'='1
wow , dan ternyata saya berhasil memasuki kedalam admin panel website tsb ..
saya mencoba menupload shell asp, ...
dan ternyata berhasil :D
Sekian dan terimakasih ...
Website Pertambangan Myanmar diretas !
www.mining.gov.mm Adalah website pertambangan myanmar , peretas ini mengaku sebagai " xGame1945 " .
dia mengganti halaman utama website dengan tulisan " Save Rohingnya , Save Muslim - xGame1945@gmail.com " ... >
siapa lagi yang akan menjadi target yang akan dia retas ? kita tunggu saja aksi berikutnya dari dia .
Langganan:
Postingan
(
Atom
)