September 2017





Hy sob gak jauh-jauh dari kata hacking nih sekarang saya mau kasih tutorial sedikit walau udah lama sih ini, yaitu bruteforce cms joomla mengunakan tool legend yang dibikin oleh Hmi7 sebenernya yang bisa di bruteforce bukan hanya cms joomla saja seperti cms wordpress dan yang lainya juga bisa. 
ok langsung saja ya :)

siapkan bahanya :

Bruteforce tools download disini
 didalam tools tersebut sudah ada bruteforce.exe v.2 pass.txt listsite.txt

Wordlist bisa kalian kumpulkan atau cari di berbagai situs biar tambah joss nantinya :v

Mau pake dork ? Nih saya kasih

inurl:/tamplates/beez
intext:Index of /administrator
pokoknya cari yang berbasis cms joomla.

kopi + rokok jangan lupa pastinya biar gak puyeng tuhh kepala :v


Tutorialnya :

Download tool nya diatas terus extract brute v.2 nya.



Nahh sekarang sudah terbuka tampilanya seperti ini




pada bagian yang saya kasih nomer 1 default saja admin jangan diubah karena kebanyakan cms joomla menggunakan user admin.
pada bagian nomer 2 copast Wordlist kalian disitu
pada bagian nomer 3 pilih file target yang sebelumnya sudah kalian cari dengan format .txt
terus klick scan
tunggu sampai proses selesai bisa sambil ngopi+main fb :v

nah kalo berhasil maka akan seperti ini



Tinggal login dah misal site.coli/administrator
selesai, semoga bermanfaat
Happy hacking :)


Thank to Hmi7







Langsung aja siapkan bahan :

Dork :
inurl:/member/daftar.php
inurl:/member/daftar.php?lupa
inurl:/materi/ tim balitbang site: (sch.id/co.id atau apapun)

Exploit :/member/daftar.php

CSRF Online klik disini

Shell Backdoor bisa lu comot disini

Script deface nih saya kasih comot disini

Kopi sama rokok biar adem :v


  Tutorialnya :

Dorking di google terus pilih salah satu site



Tambahkan exploitnya /member/daftar.php kalo vuln nanti muncul form register member kaya gini




Nah sekarang buka CSRF Online tulis targetnya dengan user password terserah terus klik Next




Isi captcha nya terus klik GO kalo muncul tampilan pendaftaran member berhasil terus klik kolom Klick disini



Kalo berhasil nanti akan muncul tampilan konfirmasi pendaftaran berhasil kaya gini terus klik Lewat Sini Brader :v




Sekarang kita tinggal upload shell kita dengan extensi php5 / phtml




Kalo berhasil maka aka muncul tampilan kaya gini




Tinggal panggil dah shell kita dan booomm :v




Ok sekian dari saya :)
Semoga bermanfaat.


Spesial thanks to TIKUS90T














        Mungkin udah banyak yang tau tentang hal ini, CMS Swarakalibata adalah adalah CMS Lokomedia yang di modifikasi oleh Rizal Faizal dan sekarang sudah dikembangkan lebih jauh oleh phpmu.com
letak bug pada cms ini terletak pada form register pada website yang menggunakan CMS tersebut.

kita bisa mendaftarkan diri sebagai admin dengan menambahkan register.html di belakang site misalnya site.com/register.html

   Nah sekarang saya akan mencontohkan gambaranya bagaimana

Kita pake dork : intext:"PENDAFTARAN UNTUK KONTRIBUTOR ARTIKEL"




pilih salah satu site terus kita klik maka akan muncul form register seperti ini



isi formulirnya terserah kita juga bisa upload shell disini dengan extensi shell php.pjpeg, nah kalo vuln maka kita langung di alihkan menuju halaman administrator.



Nah kalo di dashboard admin kita bisa langsung upload shell tanpa di bypass extensi hanya dengan format .php saja dengan cara kita klik modul berita dan pilih add berita. cara aksesnya hanya mengklik kanan gambar yang rusak terus pilih open in a new tab.

Thanks to TIKUS90T







Hy sob udah pada tau kan pengertian sodan ? nih yang belum tau bisa lu baca disini
nah sekarang gw mau share tool shodan gak sengaja nemu waktu dorking :v
langsung saja yuk :)

daftar fitur :

- Scanners/searchers : Dork Search, SQL Injection Scanner, XSS Injection Scanner, RFI/LFI Scanner
- Tools : Admin Page Finder, MD5 hash search

Link download disini

Ok sekian bro :)
                        






Download Havij 1.17 Pro Full Crack


Havij adalah tools untuk melakukan test SQL injection pada website yang memiliki bug atau vulnerability di dalamnya. tujuanya adalah untuk bisa melakukan exploit kepada website yang memiliki celah SQLI tersebut dan mengetahui isi databasenya , selain itu Havij juga mempunyai Fitur lainnya seperti Crack MD5 dan Admin Finder

Link download disini

Cara instalasi :

Install Havij 1.17
ekstrak file loader.exe ke folder havij C:\Program Files\ITSecTeam\Havij Pro
Jalankan Loader.exe (akses administrator diperlukan)
saat program sudah berjalan, klik “Register” tanpa perlu menigisi apapun


Ok gitu aja cukup
NB: Lapor ya kalo link rusak :)







 Apa itu Shodan ??


           Istilah mesin pencari atau “search engine” sudah tidak asing lagi di telinga kita. ada Google, Yahoo, Bing, dan lain sebagainya. Namun pernahkan anda mendengar mesin pencari bernama Shodan. saat anda membuka homepagenya di www.shodanhq.com ada slogan tertulis “Expose Online Devices”. Dari slogan tersebut harus diakui bahwa mesin pencari ini cukup mengerikan dan menghawatirkan. Bahkan, John Matherly, sang pencipta Shodan mengklaim bahwa mesin pencari buatannya adalah mesin pencari yang paling menakutkan di internet.



Shodan adalah sebuah mesin pencari yang dirancang untuk mencari perangkat dan sistem komputer yang terhubung dengan internet. Situs ini diluncurkan pada tahun 2008 oleh programmer John Matherly, yang memiliki ide mencari peralatan-peralatan yang terhubung dengan Internet. Shodan dianggap sebagai versi “gelap” dari Google yang mampu mencari server, webcam, printer, router, dan semua perangkat yang terhubung dengan internet. Berbeda dengan Google yang digunakan untuk mencari sebuah artikel, situs, atau informasi terkait web.

Shodan bekerja tanpa henti dan mengumpulkan informasi jutaan perangkat dan layanan yang terhubung dengan internet setiap bulan. Mesin pencari “gelap” Shodan ini mampu menemukan sistem lampu lalu lintas, kamera CCTV, perangkat otomatisasi rumah, sistem kontrol untuk taman air, pompa bensin, pendingin anggur hotel. Bahkan, sistem pembangkit listrik tenaga nuklir dapat ditemukan menggunakan Shodan.






John Matherly mengatakan bahwa Shodan membatasi hingga 10 hasil pencarian tanpa akun dan 50 hasil pencarian jika menggunakan akun. Sang pencipta Shodan mengatakan bahwa tujuan diciptakannya Shodan adalah untuk kebaikan.
MApa yang krusial yang membuat Shodan mampu untuk melakukan hal (pencarian) ini – dan apa yang membuat Shodan begitu menakutkan – adalah bahwa sangat sedikit dari perangkat yang terhubung dengan internet menerapkan keamanan yang benar-benar baik.
Ini adalah kegagalan keamanan besar-besaran” kata HD Moore, Chief Security  dari Rapid 7, yang mengoperasikan versi pribadi database Shodan seperti untuk tujuan penelitian sendiri.
Pada Defcon cybersecurity conference tahun lalu Dan Tentler seorang Tester penetrasi keamanan independen, menunjukkan bagaimana ia menggunakan Shodan untuk menemukan sistem kontrol untuk menguapkan pendingin, pemanas air bertekanan, dan pintu garasi. Ia juga menemukan tempat pencucian mobil yang bisa dinyalakan dan dimatikan, sebuah arena hoki di Denmark yang dapat dicairkan dengan mengklik tombol. Seluruh sistem kontrol lalu lintas Sebuah kota yang terhubung ke Internet dan dapat dimasukkan ke dalam “test mode” dengan entri perintah tunggal. Dan dia juga menemukan sistem kontrol untuk pembangkit listrik tenaga air di Perancis dengan dua turbin yang masing-masing menghasilkan 3 megawatt.
Anda benar-benar bisa melakukan beberapa kerusakan serius dengan hal ini,” kata Tentler.  Ini adalah hal yang menghawatirkan jika jatuh ke tangan yang salah.

Copyright binushacker.net





Nih gua jelasin Deface adalah suatu teknik mengganti atau menyisipkan file pada pada server, Teknik ini bisa di lakukan karena terdapat lubang atau celah pada system scurity yang ada pada website. Oleh karena itu gw tidak tanggung jawab atas semua yang lu lakukan :v

Nah udah tau penjelasanya yaudah kita langsung tutorialnya :


Bahan :

Dork : Sedot disini

Script deface bisa lu sedot disini

Shell backdoor bisa lu download disini

Kopi + Rokok surya biar gak stress :v

Nih gw tambahin daftar nama domain di dunia fungsinya untuk ngembangin dork biar lu dapet site yang perawan :v klik disini

Tutorialnya :

Dorking di google terus pilih salah satu site, di tahap ini membutuhkan kesabaran karena tidak semua site vuln cobalah terus mencari dengan mengembangkan dorknya .





Nah sekarang kita masuk di admin loginya, coba kita bypass dengan u/p '=''or'





Kalo vuln maka akan masuk ke dashboard kalo tidak cari yang lain, nah sekarang gw udah masuk dashboard nih




Sekarang tinggal upload shell nya, cari tempat upload terserah mau dimana sekarang gw nemu tempat upload di news.




Akses shell nya ? cari tempat upload tadi terus cari gambar yang rusak lalu klik kanan pilih open image in a new tab.





Dan bommm ! masuk ke shell nya :v




Sekarang kita tinggal cari indexnya, caranya cari di public_html terus lu klik edit




Copy script deface lu terus paste di tempat indexnya.




Klik save ya :) 



Tinggal akses dah site nya dan boomm terdeface :v




Mudah kan ? :v
Nih tambahan kalo mau tebas indexnya jangan lupa backup ya hargai webmaster emang jadi webmaster itu mudah coeg :v


Sekian.







langsung aja ya gan gak usah banyak cocot :v

Bahan :

Dork :  Inurl:/wp-login.php?action=register
            Inurl:/register-2/
            inurl:/wp-content/themes/averin
            inurl:/wp-content/themes/dagda
            Intext: Powered by Wordpress
            ( kembangin dork nya ya mas )

Exploit : /wp-admin/theme-editor.php

Rokok surya + Kopi hitam biar lu gk stress :v


Tutorialnya :

Dorking di google pilih salah satu site





Kalo vuln maka kayak gini, klik register/daftar






Isi form nya dengan email lu yang aktif terus klik register /daftar




Buka email cari pesan konfirmasi register tadi terus klik link konfirmasinya




Tinggal login dah taraaaa masuk dashboard :v





Upload shell gimana? Use your brain bro masa di suapin terus :v

Nih hasil deface saya http://www.approachingwomenfast.com/


Sekian.








Hy sob rame nihh pada show off poc Bugzilla :v Ketimbang mlongo liat orang show off terus lu pinternya kapan hehehe :v
langsung aja yuk gw mau tutor Deface Poc Bugzilla biar lu pinter tau gak :v

siapkan bahanya cuk :


- Kopi + Rokok biar gak tegang :v

- Dork : 

- bugzilla intext:attachment.cgi?id=
- bugzilla intext:attachment.cgi?id= site: (co.li)
- inurl:attachment.cgi?id= intext:New Account
- inurl:attachment.cgi?id= intext:New Account site: (co.li)
- inurl:bugzilla intext:New Account
- inurl:bugzilla intext:New Account site: (co.li)
- inurl:bugzilla intext:New Account site: (co.li)
- kembangin lagi cuk biar berfaedah hidup lu :v


- Akun Email aktif 

 nihh gw kasil live target kasian amat lu :v



Tutorialnya sob :v

- Dorking di mbah google pake dork di atas ok kalo mau dapet yang cantik ya kembangin dorknya bro :v




- Pilih targetnya yang menurut lu vuln terus klick New Acount




- Nah terus nanti di suruh tulis email kalian yang aktif lo ya liat di gambar klik Send maka tampilanya akan kaya gini 



- Buka email kalian terus klik kode Konfirmasinya




- Nah nanti akan menuju halaman ini, isi nama dan passwordnya terus klik Create





- Langsung di halaman Home kita klik New sob




- Maka muncul pilihan Bug terserah mana yang mau lu pilih terus klik 





- Isi formulirnya terserah terus scroll kebawah klik Add Attachment




- Pilih Script deface lu isi juga descriptionya terus klik Submit Bug





- Nah kalo sukses jadi kaya gini sob,





-Scrool ke bawah pilih attachment 




- Klik kanan pilih open link in new tab maka hasilnya kaya gini sob




selesai bro gimana ? masih bingung urusan lu hahah bercanda kalo emang bingung bisa bertanya kok dengan comment di bawah :)

Sekian.



                                                                                                                                                        Greetz to GFS Team













Zaenal Arifin

{facebook#https://www.facebook.com/darkvenom.gov} {twitter#https://twitter.com/steviefar07} {google-plus#https://plus.google.com/u/0/117673850650242989379} {youtube#https://www.youtube.com/c/KaizenJavaHaxor}

Contact Form

Name

Email *

Message *

Powered by Blogger.
Javascript DisablePlease Enable Javascript To See All Widget