Selasa, 10 Desember 2013
Sabtu, 07 Desember 2013
Com _User Checking
- intext:"Joomla! 1.6 - Open Source Content Management"
- intext:"Joomla! 1.7 - Open Source Content Management"
Massage Admin Click
Jumat, 06 Desember 2013
Kamis, 05 Desember 2013
Angola Digempur Situs Pemerintahan Down
Berikut beberapa situs Pemerintahan Angola yang telah berhasil dilumpuhkan:
www.bengo.gov.ao
www.benguela.gov.ao
www.bie.gov.ao
www.biga.gov.ao
www.cabinda.gov.ao
www.cidadao.gov.ao
www.cnti.gov.ao
www.conhecimento.gov.ao
www.ctrlm.gov.ao
www.cuandocubango.gov.ao
www.cunene.gov.ao
www.empresas.gov.ao
www.governo.gov.ao
www.huambo.gov.ao
www.huila.gov.ao
www.investigacaocientifica.gov.ao
www.kuandokubango.gov.ao
www.kwanzanorte.gov.ao
www.kwanzasul.gov.ao
www.luanda.gov.ao
www.lundanorte.gov.ao
www.lundasul.gov.ao
www.macvg.gov.ao
www.macvp.gov.ao
www.malange.gov.ao
www.malanje.gov.ao
www.map.gov.ao
www.mapess.gov.ao
www.mat.gov.ao
www.mcs.gov.ao
www.mct.gov.ao
www.meccc.gov.ao
www.meccm.gov.ao
www.meccs.gov.ao
www.med.gov.ao
www.mesct.gov.ao
www.minaderp.gov.ao
www.minadrp.gov.ao
www.minagri.gov.ao
www.minam.gov.ao
www.minamb.gov.ao
www.minars.gov.ao
www.mincec.gov.ao
www.minco.gov.ao
www.minct.gov.ao
www.mincult.gov.ao
www.mind.gov.ao
www.minden.gov.ao
www.minea.gov.ao
www.minec.gov.ao
www.minerg.gov.ao
www.minesct.gov.ao
www.minfamu.gov.ao
www.minfin.gov.ao
www.mingmi.gov.ao
www.minhotur.gov.ao
www.minint.gov.ao
www.minjud.gov.ao
www.minjus.gov.ao
www.minjusdh.gov.ao
www.minop.gov.ao
www.minpet.gov.ao
www.minplan.gov.ao
www.minsa.gov.ao
www.mintrans.gov.ao
www.minuc.gov.ao
www.minuh.gov.ao
www.mirex.gov.ao
www.moxico.gov.ao
www.mpdt.gov.ao
Rabu, 04 Desember 2013
Deface - Fake Subdomain
Kali ini saya akan share trik deface subdomain dengan memanfaatkan hosting gratisan :p . Yaitu memanfaatkan fitus Parked Domain. Oke langsung saja ya bro :) .
Pertama, kita harus punya akun idhostinger dulu. kalo belum, ya buruan buat :v (bukan idhostinger juga gak apa-apa, sesuaikan sendiri)
Lalu, pergi ke Reverse IP Lookup untuk melihat domain-domain lain yang satu server denagn domain kita.
Sebagai contoh, punya saya : newbieakicha.tk
Ya, cantik.us berada satu server dengan newbieakicha.tk .Sekarang kita coba membuat fake subdomain di cantik.us :D
masuk ke akun idhostinger, buka fitur Parked Domain , lalu masukkan subdomain.situstarget.com . Contoh, naomi.cantik.us . lalu klik park domain.
Done ! buka naomi.cantik.us , maka tampilannya akan sama seperti tampilan newbieakicha.tk
Sekian tutorial kali ini, semoga beranfaat
Pertama, kita harus punya akun idhostinger dulu. kalo belum, ya buruan buat :v (bukan idhostinger juga gak apa-apa, sesuaikan sendiri)
Lalu, pergi ke Reverse IP Lookup untuk melihat domain-domain lain yang satu server denagn domain kita.
Sebagai contoh, punya saya : newbieakicha.tk
 |
| Step 1 |
masuk ke akun idhostinger, buka fitur Parked Domain , lalu masukkan subdomain.situstarget.com . Contoh, naomi.cantik.us . lalu klik park domain.
 |
| Step 2 |
Selasa, 03 Desember 2013
Dituduh Boikot Islam, Hacker Serang situs Angola
Beberapa hari yang lalu, muncul sebuah laporan yang mengatakan bahwa Angola telah memboikot Islam, bahkan dikabarkan sejumlah masjid telah ditutup.
Seiring dengan kabar tersebut, sekelompok Hacktivist Muslim mulai mengambil tindakan pada Angola. Mereka yang mengatasnamakan dirinya sebagai Ghosts Maroko telah membobol website Angola Embassy di Spanyol (embajadadeangola.com), seperti yang dikutip dari Softpedia (2/12).
Di halaman website tersebut, para hacker mendesak pemerintah Angola untuk 'menghentikan penindasan Islam dan kaum Muslimin.'
"Islam adalah agama yang bertoleransi, hormat dan penuh belas kasihan, yang mana manusia memainkan peran besar untuk berkontribusi pada stabilitas setiap hakim masyarakat dan hidup bersama dari berbagai ras. Salah satu dari tugas Muslim sebagai individu adalah untuk menghormati sesama."
Begitulah kurang lebih apa yang dituliskan para hacker.
Hingga berita ini diturunkan, situs Embassy di Spanyol masih offline. Hal tersebut dapat dilihat melalui zona-h.org.
Meski begitu, pihak Angola tetap bersikeras bahwa mereka tidak melakukan apa yang telah dituduhkan. Mereka menyangkal telah memboikot Islam dan melakukan penganiayaan terhadap kaum Muslim.
Exploit WHCMS 5.x.x SQL Injection
Sebelumnya saya sudah pernah membahas tentang Hack WHM, dan tutorial kali ini kita akan mengexploitasi bug yang terdapat pada web aplikasi WHMCS.. lalu pertanyaanya, apa bedanya WHM dan WHMCS??? Google sono :p :v
Thanks To : Mr. Xenophobic atas sumbangan targetnya untuk Tutorial ini :D
Dork :
intext:powered by whmcompletesolution
Pertama silahkan sobat mencari targetnya di google dengan memanfaatkan dork diatas.
Kemudian sobat diharuskan Register di web target.
Setelah Register, kita akan melakukan exploitasinya dengan menggunakan Exploiter berikut:
http://fr.midipedia.net/modules/whmcs.php
Download Click
Masukkan site target, email, dan password yg di daftarkan tadi, lalu klik Exploit!
Tunggu saja prosesnya, nanti akan muncul hasilnya :)
Setelah di dapat username,email, dan password admin, kemudian decrypt hashnya, utk decriptnya nya bisa sobat decrypt di md5decrypter.co.uk atau di web yang menyediakan service hash crack yang lain. ato bisa juga dengan Hashcat, dan lainnya yg udah dibahas diblog ini :)
Setelah password berhasil di decrypt, selanjutnya masuk ke halaman admin! contoh : http://site.com/whmcs/admin/login.php ), masukkan username & password admin dan login dah... setelah itu, terserah mo diapain... :)
WHCMS Killer V3
Tutorial Hack WHM dan cPanel dengan WHMCS Killer
Sebenarnya ini tutorial lama sih. Di google juga sudah banyak tersebar :D . tapi siapa tau ada yang belum bisa. jadi sekalian share di blog sederhana saya ini :) . Oke langsung saja.
Sebelumnya, sobat harus punya WHMCS Killer nya. kalo belum punya, silahkan download di :
Download WHMCS Killer V3
Langsung ke langkah-langkah :
Pertama, sobat harus dapetin dulu config WHMCS nya. Entah dengan cara symlink atau cara apa :D
Contoh Config WHMCS :
<?php
$license = 'Owned-fgdfffgtyrydfd6c8c3d';
$db_host = 'localhost';
$db_username = 'serverasd_usr';
$db_password = 'KjlKuItsdf';
$db_name = 'serverasd_whmcs';
$cc_encryption_hash = '6mnWFdQMWlmRJsJaxih007Hr9KCwxTRu54gB8WdV7qCHIbI6kPXaMurM5U8tDPNz';
$templates_compiledir = 'templates_c/';
$mysql_charset = 'utf8';
?>
Setelah itu, upload WHMCS Killer di webnya :D
Tinggal diisni kolom kolomnya sesuai dengan yang tertera di file config tadi :D
lalu kilk submit....
naih sudah masuk. kalo sudah gitu ya terserah mau diapain :p
kalo mau lihat password sama user WHM ya tinggal klik menu H0st R00ts
Atau kalo mau ngurut urut cPanel nya tinggal klik menu Clients hosting Account :D
Sekian postingan sederhana dari saya, semoga bermanfaat :)
Sebelumnya, sobat harus punya WHMCS Killer nya. kalo belum punya, silahkan download di :
Download WHMCS Killer V3
Langsung ke langkah-langkah :
Pertama, sobat harus dapetin dulu config WHMCS nya. Entah dengan cara symlink atau cara apa :D
 |
| Contoh Config WHMCS |
<?php
$license = 'Owned-fgdfffgtyrydfd6c8c3d';
$db_host = 'localhost';
$db_username = 'serverasd_usr';
$db_password = 'KjlKuItsdf';
$db_name = 'serverasd_whmcs';
$cc_encryption_hash = '6mnWFdQMWlmRJsJaxih007Hr9KCwxTRu54gB8WdV7qCHIbI6kPXaMurM5U8tDPNz';
$templates_compiledir = 'templates_c/';
$mysql_charset = 'utf8';
?>
Setelah itu, upload WHMCS Killer di webnya :D
lalu kilk submit....
naih sudah masuk. kalo sudah gitu ya terserah mau diapain :p
kalo mau lihat password sama user WHM ya tinggal klik menu H0st R00ts
 |
| User and Password WHM :p |
Sekian postingan sederhana dari saya, semoga bermanfaat :)
vBulletin 4.x.x dan 5.x.x Upgrade 0day
Dork
Langkah - Langkah
1. Masukan expoit :/
#localhost/path//
Tampilan akan seperti ini'
2. Kemudian tekan CTRL + U dan cari Customer ID nya :)
nah udah berhasil login tuh =))
tinggal tebas aja, kalau belum bisa memasang shell bisa download video dibawah ini :)
Untuk cara upload file, bisa download tutorial disini
http://www.3drcforums.com/
http://
http://windowssecrets.com/
http://passivehouseplus.ie/
http://www.aussiemuslims.com/
http://
http://www.doula.com.au/
http://www.ohiovalleydtr.com/
http://www.doula.com.au/
http://www.barrreport.com/
http://www.mabinogiworld.com/
http://www.coolminiornot.com/
http://
http://www.coronet.dk/install/
http://www.thebagforum.com/
http://www.3dallusions.com/
- Inurl://
install/upgrade.php - intext:vBulletin 4.2.1 Upgrade System
- intext:vbulletin-style.xml
Langkah - Langkah
1. Masukan expoit :/
#localhost/path//
Tampilan akan seperti ini'
2. Kemudian tekan CTRL + U dan cari Customer ID nya :)
3. Setelah itu, buka vBullein 0day disini, lalu masukan Costumer ID dan data lainnya :)
website diisi, contoh : http://bimo-cyber.org/install/upgrade.php
4. Setelah itu klik Inject Admin, maka tampilan akan seperti berikut
5. Nah sekarang tinggal login aja deh, login admin vBulletin adalah : /admincp/
#contoh : http://bimo-cyber.org/admincp/
tinggal tebas aja, kalau belum bisa memasang shell bisa download video dibawah ini :)
Untuk cara upload file, bisa download tutorial disini
- Web Demo
http://www.3drcforums.com/
http://
http://windowssecrets.com/
http://passivehouseplus.ie/
http://www.aussiemuslims.com/
http://
http://www.doula.com.au/
http://www.ohiovalleydtr.com/
http://www.doula.com.au/
http://www.barrreport.com/
http://www.mabinogiworld.com/
http://www.coolminiornot.com/
http://
http://www.coronet.dk/install/
http://www.thebagforum.com/
http://www.3dallusions.com/
Joomla - Com_Redmystic
Dork
inurl:/index.php?option=com_redmystic
Exploit
/administrator/components/
POC
1. Ambil script dibawah ini, lalu save dengan ekstensi .php kemudian upload ke web / bisa lewat XAMPP
Sekian tutorial yang bisa kami sampaikan, jika ada yang kurang jelas silahkan ditanyakan ke Grup kami :D
inurl:/index.php?option=com_redmystic
Exploit
/administrator/components/
POC
1. Ambil script dibawah ini, lalu save dengan ekstensi .php kemudian upload ke web / bisa lewat XAMPP
#Note: Mohon tidak menghilangkan greetz pada script diatas, Hargai orang lain jika ingin dihargai :)
2. Okay langsung aja ke langkah-langkahnya :) pergi ke search engine ( google / bing / dll ) lalu masukan dork diatas.
3. Sekarang buka web dibawah atau langsung bisa ke web dimana anda mengupload file diatas :)
4. Masukan target di kolom yang tersedia, lalu klik exploit. Jika berhasil maka akan muncul tulisan dibawah kolom textarea :)
5. Nah, kalau udah kayak gitu tinggal akses aja deh :)
6. Nah muncul Uploader kan ? kalau gagal berati engak vuln atau udah di utak atik sama adminnya hahaha :D dah tinggal upload shell / script aja :)
7. Shell udah ditangan ? sekarang terserah anda mau di apain :D
Sekian tutorial yang bisa kami sampaikan, jika ada yang kurang jelas silahkan ditanyakan ke Grup kami :D
Senin, 02 Desember 2013
Bug XSS CMS Blogger
PoC = CMS Blogger
Exploit :
/feeds/posts
Gua kasih Contoh blog gue ya
www.crackerjj.blogspot.com/feeds/posts/Got Hacked!
SS :
Exploit :
/feeds/posts
Gua kasih Contoh blog gue ya
www.crackerjj.blogspot.com/feeds/posts/Got Hacked!
SS :
Dah gitu aja
Situs Polri Diretas
Kini serangan ke Negara kanguru tersebut sudah sedikit mengalami penurunan. Komando yang biasa di suarakan melalui fanspage dan grup event di facebook sudah tidak terlihat lagi karena memang beberapa Fanspage dan event grup yang menjadi salah satu pusat komando telah dihapus oleh pihak Facebook. Berdasarkan kabar yang berhembus, bahwa pemerintah Australia telah melakukan kerjasama dengan pihak Facebook untuk menutup grup para Hacker Indonesia.
Dikabarkan pula bahwa aksi beberapa Hacker Indonesia mendapat kecaman dari Hacker Australia karena telah melakukan peretasan terhadap situs-situs sipil yang tidak ada hubungannya dengan penyadapan yang dilakukan oleh pemerintah Australia. Hal ini berakibat muncul sebuah ancaman bahwa Hacker Australia akan menyatakan Perang cyber terhadap aksi salah sasaran yang telah dilakukan oleh para hacker indonesia tersebut. Beberapa kali Pesan ancaman telah diluncurkan melalui media youtube untuk hacker Indonesia agar tidak lagi meretas situs sipil.
Dan mungkin inilah jawaban dari pesan yang telah dikirimkan oleh hacker australia beberapa waktu yang lalu, web polri yang beralamatkan di http://penerimaan.polri.go.id telah mengalami perubahan halaman tampilan (Defaced). bila situs tersebut di buka akan muncul sebuah tampilan berlatar belakang hitam dengan bertuliskan :”IAM MATASIRI OF LATUNUSA AND WE ARE LEGION, AUSTRALIA HACKER TEAM”.
Sejak berita ini diturunkan, situs tersebut belum ada perubahan atau perbaikan dan dari pihak polri sendiri belum memberikan keterangan yang pasti terhadap pristiwa ini. Apakah ada kaitannya serangan tersebut di lancarkan oleh hacker Australia atau hanya ulah segelintir orang yang ingin memanfaatkan situasi memanasnya hubungan antara Indonesia dan Australia untuk kepentingan pribadi.
Minggu, 01 Desember 2013
Woocommerce Custom Tshirt Designer CSRF Shell Upload Vulnerability
PoC = Woocommerce Custom Tshirt Desginer CSRF Shell Upload Vulnerability.
Bahan-bahan :
HTML Exploiter Click | save dengan format .html
Vulnerability :
[localhost]/wp-content/plugins/woocommerce-custom-t-shirt-designer/includes/templates/template-black/designit/cs/upload.php
Dork :
inurl:wp-content/plugins/woocommerce-custom-t-shirt-designer
Shell Location :
[localhost]/wp-content/plugins/woocommerce-custom-t-shirt-designer/includes/templates/template-black/designit/cs/uploadImage/[randomname].php
Langkah-langkah :
Oke, langsung saja ke google nyari target vuln.
Contoh target saya adalah http://mbrinformatique.com/
Ubah url nya menjadi
http://mbrinformatique.com/wp-content/plugins/woocommerce-custom-t-shirt-designer/includes/templates/template-black/designit/cs/upload.php
Jika error, berarti vuln
Bahan-bahan :
HTML Exploiter Click | save dengan format .html
Vulnerability :
[localhost]/wp-content/plugins/woocommerce-custom-t-shirt-designer/includes/templates/template-black/designit/cs/upload.php
Dork :
inurl:wp-content/plugins/woocommerce-custom-t-shirt-designer
Shell Location :
[localhost]/wp-content/plugins/woocommerce-custom-t-shirt-designer/includes/templates/template-black/designit/cs/uploadImage/[randomname].php
Langkah-langkah :
Oke, langsung saja ke google nyari target vuln.
Contoh target saya adalah http://mbrinformatique.com/
Ubah url nya menjadi
http://mbrinformatique.com/wp-content/plugins/woocommerce-custom-t-shirt-designer/includes/templates/template-black/designit/cs/upload.php
Jika error, berarti vuln
Langkah kedua, buka HTML Exploiter diatas dan edit bagian http://127.0.0.1/wp-content/plugins/woocommerce-custom-t-shirt-designer/includes/templates/template-black/designit/cs/upload.php dengan web yang vuln.
save kembali lalu buka lewat browser.
nah tuh, upload shell nya lewat situ. maka kalo sudah sukses kalian akan mendapatkan nama acak. Misal :
xadsadadadaad.php
maka letak shell kalian ada di
[localhost]/wp-content/plugins/woocommerce-custom-t-shirt-designer/includes/templates/template-black/designit/cs/uploadImage/[randomname].php
Contoh :
http://mbrinformatique.com/wp-content/plugins/woocommerce-custom-t-shirt-designer/includes/templates/template-black/designit/cs/uploadImage/1384522165528621b5f41fe.php
Kalo sudah seperti ituya terserah mau diapain
Sekian Tutornya, Semoga bermanfaat
Script Deface
Kali ini gue akan share script deface karya gue sendiri, kalo mau di edit ya silahkan :D
Langganan:
Postingan (Atom)