Tampilkan postingan dengan label Facebook. Tampilkan semua postingan
Tampilkan postingan dengan label Facebook. Tampilkan semua postingan

Kamis, 08 Januari 2015

Tutorial Hydra Part II ( Bruteforce Login Website )


Relate Search : Hydra, Cracking, Hacking, Bypass, Facebook, Twitter, Login, Website, Security, Terminal.

Bruteforce Login Website adalah suatu teknik dimana kita akan melakukan penetrasi dengan cara masuk ke dalam suatu website yang memiliki proteksi login, dengan cara ilegal yaitu melakukan penebakan user dan password secara masal. teknik bruteforce tidak hanya bisa di gunakan di website, tapi juga bisa di lakukan di lingkungan lain seperti login apps, login windows, login email dll.

pada tutorial kali ini saya akan melanjutkan sesi dari tutorial hydra. dan sekarang sudah mencapai part II, dengan judul " bruteforcing login website" , pada tutorial hydra part I saya menggunakan mode GUI untuk melakukan cracking, tapi untuk sekarang saya akan menggunakan versi Consolenya. teknik ini memanfaatkan Bug method GET yang di miliki website, pada praktiknya nanti saya akan menggunakan website yang saya buat sendiri, jadi dan menggunakan localhost sebagai servernya. tutorial ini bisa di terapkan dan di kembangkan untuk website-website yang lebih terkenal seperti facebook, twitter, pinterest dll. tapi  harus tetap menggunakan Etical hacking. dan jangan sampai merugikan orang lain atas nafsu hacking anda.

oke, tanpa basa basi lagi, langsung saja ke tutorialnya :

Hal-hal yang di butuhkan : 
- Terminal (Console Linux)
- Hydra
- Website Target ( Localhost )

1. buka terminal tekan alt+ctrl+t , atau dari menu linux , pilih terminal.
masuk ke akses root , ketik : sudo su, apabila anda menggunakan kali linux atau os penetrasi lainnya, bisa skip langkah ini.



2. check website yang akan menjadi tempat testing . saya menggunakan localhost yang memiliki login website yang saya buat sendiri.

 3. langkah selanjutnya adalah mencoba dan melihat hasil apabila login yang di lakukan salah.
























ingat baik-baik hasil login apabila ada kesalahan dalam username dan password.
pada contoh kali ini, hasil yang muncul adalah "Login gagal"  seperti pada gambar di bawah ini.


4. siapkan wordlist yang berisi email dan password. akan lebih memudahkan apabila anda sudah mengatahui email target, jadi anda tinggal menyertakan wordlist password dari akun target. berikut saya menggunakan wordlist yang berisi email saya sendiri, saya simpan dengan nama user.txt.



berikut  wordlist password yang berisi kata random, yang saya simpan dengan nama pass.txt :



5. setelah perlengkapan siap semua, sekarang waktunya melakukan eksekusi, ketikkan perintah :

hydra -L user.txt -P pass.txt 127.0.0.1 http-get-form "/login.php:username=^USER^&password=^PASS^&login=login:gagal"

 keterangan :

- biru : nama file worlist user dan pass yang udah di buat atau di download.
- merah : domain website atau ip website.
- hijau : nama metode yang di gunakan oleh website untuk proses login. untuk mengetahui metode ini bisa di lakukan inspect element pada form login website, seperti pada gambar di bawah ini.



pada gambar di atas bisa kita lihat 2 baris di bawah garis biru terdapat kata "method='GET'" yang menyebutkan bahwa form login ini menggunakan methode GET.

- orange : sub url yang ada pada waktu kesalahan login , yang di ubah sedikit. 


sub url yang awalnya : /login.php?username=bill&password=testing&login=login
- tanda tanya di ganti dengan titik dua
- username yang di inputkan sebelumnya di ganti dengan ^USER^
- password yang di inputkan sebelumnya di ganti dengan ^PASS^
- pada akhir sub url di tambah dengan "titik dua" di tambah kata yang ada pada kesalah login yaitu "gagal", hasilnya ":gagal"
hasil dari beberapa penggantian di atas adalah :

 "/login.php:username=^USER^&password=^PASS^&login=login:gagal"

jangan lupa di beri tanda kutip untuk sub urlnya




 6. setelah selesai di ketikkan di atas, maka lanjutkan dengan menekan ENTER.
tunggu prosesnya hingga selesai, lama tidak nya proses bruteforcing tergantung dari kerumitan user dan password target.


dapat di lihat di atas, bahwa proses bruteforcing telah selesai, dan mendapatkan hasil yaitu :

host: 127.0.0.1    login: bill@3xpl01t.com   password: testing

7. selanjutnya balik ke halaman login website, lalu ketikkan user dan password yang sudah di peroleh tadi.



VOILAAAA... login sukses.


teknik ini benar-benar powerfull, walaupun begitu tetep ada kelemahannya. bayangkan apabila teknik di atas di lakukan ke pada login website yang sebenarnya. selamat bereksperimen.

NOTE : 3xpl01t memberikan tawaran bagi pembaca yang ingin order membuat website, bisa order ke kami , untuk tata caranya bisa masuk ke link berikut. 

Mau pasang iklan di blog?. klik Disini

Sekian artikel saya, Semoga Bermanfaat. Wassalamualaikum Wr Wb

Stay fools to Stay Hungry
NB : Artikel ini di peruntukkan untuk pendidikan semata. hal-hal negatif yang di lakukan oleh pengguna tutorial , bukan tanggung jawab penulis.

Kamis, 13 November 2014

Spam Facebook Modus Terbaru 2014

Assalamualaikum Wr Wb, artikel ini berisikan tentang spam facebook yang marak pada bulan ini.


Spam adalah suatu barang elektronik atau digital yang berupa pengiriman pesan secara bertubi-tubi atau masive, pengirim pesan di namakan spammer, tindakan spam di namakan spamming. spamming memiliki banyak jenis dan bentuk, spam dapat dilakukan dengan cara mengirim pesan email, chating, jejaring sosial, posting dll.

pada zaman ini salah satu media penerima dan pengiriman pesan adalah jejaring sosial facebook, walaupun bukan hanya dalam pengiriman/penerima pesan, facebook juga bisa melakukan komunikasi dengan cara posting di timeline atau status. spamming  kepada pengguna jejaring sosial facebook sering di lakukan baik itu di untuk tindak kejahatan ataupun hanya untuk melakukan promosi suatu vendor atau produk, pada bulan ini saya banyak sekali menerima spam berupa posting di facebook yang menyertakan link berupa aplikasi yang ngakunya aplikasi dapat melihat atau mengungkap siapa saja yang sering melihat profile kita, setelah itu di sebarkan ke 50 teman kita. padahal itu semua adalah HOAX belaka, link yang di sugukan memang link aplikasi facebook tetapi aplikasi tersebut hanya di buat pancingan untuk melakukan pencurian EMAIL dan PASSWORD facebook. bagaimana kronologi jelasnya dan bagaimana cara mencegah teknik spamming ini? mari kita telusuri bersama-sama.

Kronologi spamming facebook : 

1. Teman kita yang telah terjangkit aplikasi spaming melakukan penandaan nama pada akun kita. seperti gambar berikut : 



pada gambari di atas terlihat akun dengan nama Rito Galih melakukan posting ke timeline saya dengan menandari 49 temannya, pada posting tersebut di sertakan link aplikasi untuk melihat 5 orang yang sering melihat profile nya, yang sebenarnya itu link untuk mengacaukan user yang tertarik untuuk di giring ke HALAMAN PHISING.

2. Apabila kita klik link yang di sertakan pada postingan tersebut , kita akan di alihkan ke halaman persetujuan memasuki aplikasi. contoh halamanya seperti berikut : 


halaman di atas adalah halaman persetujuan atau peringatan dari facebook yang meminta feeback dari pengguna akun untuk lanjut ke aplikasi. apabila aplikasi yang di tuju adalah aplikasi yang benar atau memang benar2 aplikasi, maka setelah kita kllik tombol GO TO APP , maka kita akan di alihkan ke halaman aplikasi, TETAPI pada  kali ini kita malah di alihkan ke halaman PHISING.

3. halaman phising : 



gambar di atas adalah halaman phising yang di tunjukan kepada pengguna akun, halaman ini seakan-akan membuat kita berfikir bahwa akun pengguna telah logout, padahal belum logout. apabila kita bisa lebih cermat lagi, kita bisa melihat di address bar, di sana tertulis link yang menampilkan halaman facebook bukan "www.facebook.com", tetapi "facula.zepto.org/home" bisa kita simpulkan di sini bahwa halaman yang di tampilkan adalah halaman PHISING yang bertujuan untuk MENCURI email dan password Facebook kita. apabila kita login maka kita akan di alihkan ke link aplikasi yang sebenarnya, walaupun kita login dengan email dan password yang SALAH kita akan tetap bisa MASUK. hal ini semakin memperkuat bahwa kita sebenarnya belum sama skali logout.

NB : saya mengisikan email : kurangkerjaan@hacker.com ,  padahal email saya bukan itu, tetapi saya tetap bisa login. :D


4. halaman aplikasi : 



setelah kita login pada halaman phising, kita akan di alihkan ke halaman aplikasi , pada halaman di atas aplikasi yang di tujukan kepada kita adalah "Deer Hunter 2014", aplikasi ini tidak bisa kita gunakan, karna hanya menampilkan halaman kosong pada interfacenya. :v


Kesimpulan :  

Spamming yang di lakukan oleh pelaku (hacker) bertujuan untuk menyebar link yang berisikan aplikasi pendukung PHISING, phising yang di lakukan hacker ini bertujuan untuk mengambil EMAIL dan PASSWORD pengguna akun yang telah login di halaman phising.



setelah kita mengetahui kronologi spamming sekaligus phising oleh hacker di atas, sekarang saat nya kita membahas tentang bagaimana cara mencegah agar kita tidak terjebak dan terjangkit oleh link spam tersebut.

langkah-langkahnya sebagai berikut :

1. buka menu settings facebook. 


2. pilih tab, "Time line and Tagging .



3. klik edit pada baris pertanyaan "who can add things to my time line?" , pilih pertanyaan nomer dua yang memiliki opsi status OFF.
klik edit, maka akan muncul pilihan "Enabled" atau "Disabled" , pilih opsi enabled



keterangan : 

Apabila kita mengaktifkan fitur di atas, maka setiap posting yang melakukan penandaan kepada akun kita akan di lakukan tahap persetujuan dulu, sebelum bisa melakukan penandaan.

Mau pasang iklan di blog?. klik Disini

Sekian artikel saya, Semoga Bermanfaat. Wassalamualaikum Wr Wb

Stay fools to Stay Hungry
NB : Artikel ini di peruntukkan untuk pendidikan semata. hal-hal negatif yang di lakukan oleh pengguna tutorial , bukan tanggung jawab penulis.

Search