Cara Deface Website Dengan Menggunakan Tools SQLi Helper 2.7

Cara Deface Website Dengan Menggunakan Tools SQLi Helper 2.7 - Ada tutorial hacking website lagi nih, lumayan SQL Injection. Kalo sebelumnya saya pernah share tentang Cara Deface Website Forum Sederhana Untuk Newbie yang tutorialnya pake skema "order+by+bla.. bla.. bla" nah sekarang saya akan share tentang cara deface lagi nih sob, tapi yang ini lebih mudah karena kita pake tools, jadi tinggal klak-klik aja juga kelar.

Cara Deface Website Dengan Menggunakan Tools SQLi Helper 2.7

Tapi ada efek sampingnya juga pake cara ini, Bikin Orang Jadi Males hahaha :D Tapi kalo udah tau dasarnya yang pake "order+by+ bla... bla..." it's ok lah, yang penting kita tau jalannya klo disuruh manual, kalo belum tau cara manualnya baca ini dulu Cara Hacking Website Dengan Teknik SQL Injection :D 

Cara Deface Website Dengan Menggunakan Tools SQLi Helper 2.7

Yang pertama dan wajib ada yaitu Toolsnya:

Download Link :

• SQLi Helper 2.7 | 127 KB

Langkah kedua adalah mencari website yang vulnerabillity ( terdapat celah keamanan ), Lah carinya dimana? gampang sob, cari aja di Google :D ada banyak disana. Akh males nyarinya, yaudah nih aku kasih dorknya aja biar lebih mudah. Caranya? caranya masukan dork dibawah ini ke mesin pencarian Google, nanti muncul seribu satu macam website yang sama, nah tinggal kamu pilih satu-satu, cari yang vuln ( terdapat celah keamanan ), OK.

Google Dork SQL Injection :

• inurl:index.php?id=
• inurl:trainers.php?id=
• inurl:buy.php?category=
• inurl:article.php?ID=
• inurl:play_old.php?id=
• inurl:games.php?id=

Maka akan muncul seribu satu macam website yang url-nya mirip seperti yang saya contohkan diatas. Sebenarnya masih banyak script atau dork SQL yang bisa kita dapatkan di internet. Nanti di artikel berikutnya, saya akan coba memberikannya secara lengkap untuk sobat.

Langkah ketiga, Sebelum memulai attacking kita harus menemukan website yang bisa dihack ( vulnerabillity ). Dari ribuan website dari dork yang saya berikan diatas, belum tentu salah satunya yang bisa dihack. Untuk mengetahuinya kita harus memberi tanda petik di akhir alamat website.

Contoh: http://www.wheelieboymotorsports.com/product_detail.php?pid=316 menjadi http://www.wheelieboymotorsports.com/product_detail.php?pid=316'. Jika terdapat tulisan :

Query failed.You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'1 ORDER BY lastname' at line 1 SELECT * FROM person_old WHERE id=\'1 ORDER BY lastname

Berarti Web tersebut Vuln.

Copy Url yang sobat dapatkan tadi ke kolom target.
Contoh: http://www.wheelieboymotorsports.com/product_detail.php?pid=316. ( tidak pakai tanda petik )

Kemudian klik Inject. Maka secara otomatis tools akan memeriksa ulang apakah url tersebut vuln atau tidak, versi database, supports union, dll. Jika Inject berhasil akan muncul tampilan seperti ini.

Kalau sudah klik Get Database.
*Di contoh muncul 2 Database name. Information schema dan natural. Pilih database selain Information schema. Seperti contoh dibawah, saya memilih database natural. Selanjutnya klik Get Tables.

Akan muncul beberapa list Tables yang ada. Sekarang tugas kita tinggal mencari tabel yang berisikan username dan password administratornya. Biasanya nama tabelnya tidak jauh-jauh dari admin_user, admin_login, atau apapun yang berbau informasi login admin.

Langkah Keempat, Kolom SQL
Jika sudah pilih User kalian klik get Coloumns.
Di Coloumns block yang usr_login dan usr_pass atau user_name dan password_admin lalu klik Dump Now.

Setelah itu akan muncul tampilan seperti ini

Pilih salah satu dari user login dan user password tersebut.

Ada yang aneh? Password yang ditampilkan bentuknya kok seperti ini ya?

• 987d29241cc4f2a7465f2d9356ab3615
• 987d29241cc4f2a7465f2d9356ab3615

Langkah Kelima, MD5 Password
Password tersebut dienkripsi dengan menggunakan metode MD5. Jadi kita harus menterjemahkan kode tersebut menjadi password yang sebenarnya. Nah, bagaimana caranya?

Caranya cukup mudah, buka saja situs MD5 Crack, lalu masukkan kode tersebut dikotak penelusuran. Berdo'a saja password yang sobat dapatkan tersebut cukup lemah, sehingga bisa dipecahkan dengan metode Bruto Force. Setelah sobat masukkan, lalu klik Crack hash baby.

Selesai. sekarang cari halaman login atau adminnya.
Ada beberapa contoh halaman login yang bisa sobat pakai

http://target.com/admin.htmlhttp://target.com/admin.php

NOTE - Bagi yang PC nya kedetect virus atau takut PC nya kena virus, bisa pake sandboxie biar lebih aman Click Here

Read more >>

Cara Deface Website Dengan Teknik Web KindEditor

Cara Deface Website Dengan Teknik Web KindEditor - Hai Hakel :)

Malem hari ini saya akan share tutorial Cara Deface Website Dengan Teknik Web KindEditor. Bagi yang suka maen empes-empesan, Ane punya tutorial deface yang ngga terlalu sulit nih, anak SD juga kayanya bisa wkwk :p

Ok, Langsung aja kita mulai defacenya ^^

Masukan Dorknya ke kotak pencarian Google :

• inurl:examples/uploadbutton.html
• inurl:kindeditor

Exploit :

• http://www.contohtarget.com/path/kindeditor/examples/uploadbutton.html

1. Kalo web target udah dapet, kita klik upload,

2. Kemudian pilih HTML defecan agan. Contoh disini kita menggunakan HTML ane... Cireboncyber4rt.html

3. Nanti akan keluar URL hasil upload-an HTML kita... copas link tersebut dan letakkan diakhir URL.

4. Kemudian kalo sudah, tekan Enter.

5. Taraaa... :D

Hasilnya :

1. www.daitianyi.net
2. www.staic.qefeng.com

Gimana, mudahkan? hehehe... Bagi agan-agan yang masih bingung, silahkan bisa pakai demo upload buttonnya yang sudah saya dapatkan dibawah ini :

• Upload Button Example

Read more >>

Cara Deface Website Menggunakan Teknik XSS Vulnerability

Cara Deface Website Menggunakan Teknik XSS Vulnerability |

Sebelumnya udah pada tau belum apa itu XSS Vulnerability? XSS Vulnerability adalah suatu cara memasukan code/script HTML kedalam suatu website dan dijalankan melalui browser di client. Ok deh, Langsung aja kita bahas bersama Cara Deface Website Menggunakan Teknik XSS Vulnerability ini !

1). Pertama, Masukan Dorknya :

inurl:"/showcatrows.php?CategoryID="

2). Kalo sudah, Pilih salah satu web yang akan kita deface.

Contoh : saya pakai web ini http://www.examsolutions.co.uk/...?CategoryID=13

3). Jika sudah masuk ke halaman web target, kita modifikasi sedikit URL web target dengan menambahkan tanda " dan > setelah angka, tepatnya pada akhir URL. Lalu tambahkan kode HTML deface kita.

Contoh : http://www.examsolutions.co.uk/...?CategoryID=13"><marquee><h1>Hacked by Cirebon-Cyber4rt</h1></marquee>

4). Kemudian tekan Enter.

5). Selesai, Website sudah berhasil kita deface :D

Triknya memang cukup simpel, dimana kita memanfaatkan celah keamanan pada XSS sebuah website dengan memasukan sebuah code/script HTML.

Read more >>

Istilah-Istilah dalam Dunia Hacking yang Perlu Kamu Ketahui

Istilah-Istilah dalam Dunia Hacking yang Perlu Kamu Ketahui - Hallo Sobat Calon Hakel mau belajar tentang hacking? Nah kalo sobat mau belajar tentang ilmu yang satu ini, Sobat perlu mengenal dan mengetahui Istilah-Istilah dalam Dunia Hacking agar sobat tidak bingung ketika mempelajari dunia hacking itu sendiri.

Berikut Istilah-Istilah dalam Dunia Hacking yang Perlu Kamu Ketahui :

1). Bug

-> Kesalahan pada pemrograman yang menyebabkan sistem dapat dieksploitasi atau error dengan kondisi tertentu. Dalam web hacking, terdapat beberapa bug seperti RFI, LFI, SQLi, RCE, XSS, dll.

2). Patch

-> Perbaikan terhadap bug dengan mengupdate sistem yang memiliki vurnerable system.

3). Vurnerable

-> Sistem yang memiliki bug sehingga rentan terhadap serangan.

4). RFI

-> Penyisipan sebuah file dari luar ke dalam sebuah webserver dengan tujuan script didalam akan dieksekusi pada saat file yang disisipi di-load.

5). LFI

-> Suatu bug dimana kita bisa menginclude kan file (file yang berada didalam server yg bersangkutan) ke page yang vulnerable ( Vulnerable LFI maksudnya ).

6). SQL Injection

-> Salah satu jenis penyerangan yang mengijinkan user tidak sah(penyerang)untuk mengakses database server.

7). DDoS

-> Membuat suatu sistem crash & karena overload sehingga tidak bisa diakses atau mematikan service.

8). Shell

-> Inti dari sistem operasi. Shell dapat digunakan untuk mengendalikan kerja sistem operasinya.

9). Deface

-> Merubah tampilan halman suatu website secara paksa dan illegal.

10). Debug

-> Kegiatan mencari bug pada aplikasi dan memperbaiki bug yang ditemukan.

11). XSS

-> Adalah suatu cara memasukan code/script HTML kedalam suatu web site dan dijalankan melalui browser di client.

12). Phising

-> Adalah tindakan memperoleh informasi pribadi seperti User ID, password, PIN, nomor rekening bank, nomor kartu kredit Anda secara ilegal.

13). Keylogger

-> Adalah mesin atau software yang dipasang atau diinstal di komputer agar mencatat semua aktivitas yang terjadi pada keyboard (bekerja diam diam alias tidak terketahui oleh kita secara kasat mata)

14). Fake Login

-> Halaman tiruan/palsu yang dibuat untuk mengelabui user, bertujuan untuk mencuri informasi penting dari user (eg. username, password, email). Seperti pada kasus pencurian email n password Friendster, Facebook, dll.

15). Fake Process

-> Proses tiruan yang dibuat untuk menyembunyikan nama proses asli, bertujuan untuk mengelabui admin sistem.

Seperti mem-fake "./backdoor" menjadi "usr/sbin/httpd", sehingga ketika di "ps -ax", proses "./backdoor" berubah menjadi "usr/sbin/httpd".

16). Malicious Code/Script

-> Kode yang dibuat untuk tujuan jahat atau biasa disebut kode jahat.

17). Virus

-> Kode jahat yang sistim kerjanya seperti virus pada manusia, menggandakan diri dan seperti parasit menopang pada file yang diinfeksinya. File yang terinfeksi menjadi rusak atau ukurannya bertambah. Sekarang kode jenis ini akan sangat mudah terdeteksi pada aplikasi yang memeriksa crc32 dari dirinya.

18). Worm

-> Kode jahat yang sistim kerjanya seperti cacing, menggandakan diri dan menyebar, tidak menopang pada file. Kebanyakan di Indonesia adalah kode jenis ini.

19). Trojan

-> Kode jahat yang sistim kerjanya seperti kuda trojan pada zaman kerajaan Romawi, masuk ke dalam sistem untuk mengintip dan mencuri informasi penting yg ada didalamnya kemudian mengirimnya kepada pemilik trojan.

20). Backdoor

-> Pintu belakang untuk masuk ke sistem yang telah brhasil di exploitasi oleh attacker. Bertujuan untuk jalan masuk lagi ke sistem korban sewaktu-waktu.

Read more >>

Cara Deface Website Melalui Spaw Uploads Vulnerability

Cara Deface Website Melalui Spaw Uploads Vulnerability - Hallo sobat HAKEL , udah seminggu ini ane ngga ngepost nih. Kali ini saya mau share tutorial deface sob, nama teknik defacenya yaitu Deface Website Melalui Spaw Uploads Vulnerability.

Yaudah deh, dari pada lama-lama ngoceh ngga jelas, mending langsung ke tkp aja gan. Berikut Cara Deface Website Melalui Spaw Uploads Vulnerability Cekidot :D

1). Pertama, Masukan Dorknya :

inurl:”spaw2/uploads/files/”

Setelah sobat memasukan dork diatas dikotak pencarian google, pilih salah satu web yang mau dideface. Tapi ingat, ngga semua website bisa dideface :p

Notes : Dorknya bisa kalian ubah menurut kreativitas kalian masing-masing, contoh saya tambahkan site:th pada akhir dork diatas. Jadi hasilnya begini :

inurl:”spaw2/uploads/files/” site:th

Maksud dari site:th adalah domain negara asal website yang akan kita serang, "site:th" asal kata Thailand, jadi website yang akan kita serang semuanya website Thailand. Kalian juga bisa mengganti dengan domain negara lain, misalnya site:com.my, site:jp, site:gov.cn etc asal jangan site:co.id yah !

2). Setelah sobat masuk kedalam websitenya, sobat liat Url di addressbar. Contoh Urlnya :

http://contoh.com/spaw2/uploads/files/

3). Ganti pada Bagian /spaw2/uploads/files/ dengan kode dibawah ini :

spaw2/dialogs/dialog.php?module=spawfm&dialog=spawfm&theme=spaw2&lang=es&charset=&scid=cf73b58bb51c52235494da752d98cac9&type=files

Sehingga Menjadi Seperti Ini :

http://contoh.com/spaw2/dialogs/dialog.php?module=spawfm&dialog=spawfm&theme=spaw2&lang=es&charset=&scid=cf73b58bb51c52235494da752d98cac9&type=file

4). Tekan Enter, Nanti akan Terbuka Seperti Ini :

5). Selanjutnya Liat Terus Gambar, Karena Tutorial ada Didalam Gambar.

6). Next, Pilih File Deface'an Sobat, Lalu klik Open dan Tunggu Hingga Loading Selesai.

7). Selanjutnya Klik Tombol Upload.

8). Jika Proses Upload Selesai, Nanti akan Muncul Daftar File dan diantaranya ada File yang sobat upload tadi.

9). Selesai, dan Hasilnya :

http://www.dtam.moph.go.th/

http://www.sieps.com.br/

Mungkin orang mengira saya gila tutor, segampang ini harus diperjelas seperti ini. Tapi inilah saya, sosok yang tidak sempurna dan masih banyak kekurangan. Saya hanya ingin memperjelas kepada sobat semua agar sobat bisa mengerti dengan jelas.

Karena dari pengalaman saya dulu saat menjadi newbie ( Sekarang pun Masih Newbie ) susah sekali mencari tutor yang sangat mudah untuk dimengerti, cari sana-sini tapi hasil tetap 0.

Maka tujuan saya menulis tutorial ini biar sobat-sobat semua yang masih pemula ( Bukan saya sok, saya juga masih belajar ) dan masih belajar bisa mengerti.

Read more >>