Connect Back melalui Bug CGI memungkinkan kita untuk melakukan
command – command untuk mengeksploitasi sistem. Namun hal ini juga
dipengaruhi oleh settingan dari sistem tersebut apakah mengijinkan kita
membuat atu menulis file di server tersebut. Tujuannya adalah untuk
membuat suatu backdoor dengan cara conect back melalui bug CGI.
Langkah pertama yang harus dilakukan adalah mencari site yang
menggunakan CGI dengan bug : “shop.pl?seite” atau
“family_showpage.cgi”. Bagaimana mencarinya? yaitu googling dan
memasukkan keyword allinurl dengan tambahan bug diatas. Contoh, allinurl
: “shop.pl?seite”. Maka kita akan dapat berbagai macam halaman yang
dapat di-tes bugnya. Pilih salah satu dan kita akan memulai mencoba
connect back.
Langkah kedua yaitu masukkan perintah/command yang diinginkan diantara
char “||”, maka perintah kita akan terlihat seperti ini : |perintah|,
selain dengan char pipe(|) bisa juga menggunakan char “;”.
Langkah ketiga cek apakah kita diijinkan untuk menulis/membuat file
disana dengan perintah “id”. Kalo benar maka akan tampak :
uid=290076(ade001) gid=103(web) groups=103(web)
Selanjutnya kita upload File Backdoor yang kita ambil dari site lain dan
mulai dengan pemasangan atau infeksi backdor ke server target.
Connect Back melalui Bug CGI dengan memanfaatkan backdoor ini apabila
kita ingin melakukan connect back bisa menggunakan netcat untuk binding
port agar bisa masuk ke server target lagi dengan mudah.
Referensi
by http://holichaxor.com/
Sabtu, 16 Juli 2011
Im Hacker is not Cracker
Jangan dulu punya
anggapan buruk dengan yang namanya Hacker, karena kamu mesti tahu
seperti apa Hacker sejati itu. Masalahnya, ada sekelompok orang yang
menyebut-nyebut dirinya sebagai Hacker padahal mereka itu
adalah seorang Cracker. Hacker sejati sebenarnya tidak sejahat (atau
bahkan tidak jahat sama sekali) seperti yang kebanyakan dipikirkan
orang. Mereka terdiri dari para programer yang ahli jaringan. Mereka
jugalah yang berjasa membangun Internet lewat pengembangan sistem
operasi UNIX.
Para Hacker selalu bekerjasama secara sukarela menyelesaikan masalah dan
membangun sesuatu. Mereka selalu berbagi informasi, memberi jawaban
serta berlomba-lomba untuk berbuat yang terbaik agar dihormati di
lingkungannya. Mereka tidak pernah berhenti belajar untuk menjadi ahli
dan sangat anti untuk melakukan sesuatu berulang-ulang dan membosankan.
Mereka berpedoman pada kata-kata bijak : “Untuk mengikuti jalan _
pandanglah sang ahli _ ikuti sang ahli _ berjalan bersama sang ahli _
kenali sang ahli -jadilah sang ahli ”Sementara itu, para cracker sibuk
untuk memuaskan diri mereka dengan aktivitas Cracking. mulai dari
membobol komputer, menebar virus, hingga mengakali telepon (Phreaking).
Para Hacker menyebut mereka sebagai orang malas yang tidak bertanggung
jawab. Jadi, sangat tidak adil jika kita tetap menganggap bahwa Hacker
itu jahat dan menakutkan karena sangat jelas bahwa Hacker bersifat
membangun sementara Cracker bersifat membongkar.
Ingin jadi seorang Hacker ?? Tidak ada kata sulit bagi mereka yang mau
belajar. Untuk menjadi seorang hacker kamu harus menguasai beberapa
bahasa pemrograman dan tentu saja sikap-sikap yang bisa membuat kamu
diterima di lingkungan mereka. Biasanya calon hacker memulai dengan
belajar bahasa [Python] karena bahasa ini tergolong bahasa pemrograman
yang termudah. Bahasan mengenai bahasa ini bisa kamu lihat di
www.python.org. Setelah itu kamu juga harus menguasai [java] yang
sedikit lebih sulit akan tetapi menghasilkan kode yang lebih cepat dari
Python, [C], [C++] yang menjadi inti dari UNIX, dan [Perl]
(www.perl.com ) serta [LISP] untuk tingkat lanjut.
Setelah menguasai semua kemampuan dasar diatas, calon hacker disarankan untuk membuka salah sati versi UNIX open-source atau mempelajari LINUX, membaca kodenya, memodifikasi dan menjalankannya kembali. Jika mengalami kesulitan, disarankan untuk berkomunikasi dengan club pengguna Linux
Setelah menguasai semua kemampuan dasar diatas, calon hacker disarankan untuk membuka salah sati versi UNIX open-source atau mempelajari LINUX, membaca kodenya, memodifikasi dan menjalankannya kembali. Jika mengalami kesulitan, disarankan untuk berkomunikasi dengan club pengguna Linux
Sisi menarik dari seorang hacker adalah
dimana mereka saling bahu-membahu dalam menyelesaikan sebuah masalah
dan membangun sesuatu. Tetapi sayangnya, kehidupan mereka yang
menghabiskan 90% waktunya untuk aktivitas Hacking bukanlah hal yang
baik. Kalau memang benar-benar ingin jadi hacker, jadilah hacker yang
baik dengan memanfaatkan Teknologi Informasi
by PARUNG CYBER CREW ( pocong_kalimantan ) .
by PARUNG CYBER CREW ( pocong_kalimantan ) .
HACK WEBSITE MENGGUNAKAN SKRIP C99
Script shell C99 adalah cara yang sangat
baik untuk
hack server
web php
mengaktifkan. Anda harus menemukan uploader tidak aman untuk meng-upload
file ini
ke server. Di sini saya
menggunakan
uploader
aman berarti uploader yang tidak dapat memeriksa
ekstensi
file dan
memungkinkan kita untuk meng-upload script dieksekusi kita ke server.
Ini shell C99 memungkinkan penyerang untuk membajak server web php mengaktifkan. Script ini sangat user friendly dan memiliki antarmuka yang sangat baik sehingga mudah digunakan. Anda dapat mengeluarkan perintah php untuk menjalankan pada server web. Anda dapat menggunakan salah satu perintah yang diberikan dalam script untuk berjalan di web server.
CATATAN: Tulisan ini hanya untuk tujuan pendidikan. Kami saran Anda untuk tidak mencoba ini di situs web apapun. Penggunaan script ini pada situs web apapun adalah ilegal.
Untuk hacking website dengan menggunakan skrip C99 ikuti langkah-langkah.
1) Cari situs web php dengan sebuah uploader.
2) Uji uploader file yang akan aman atau tidak dengan meng-upload file dengan ekstensi executable server.
3) Jika uploader yang tidak aman kemudian meng-upload shell script.
4) Jalankan kode upload dengan menavigasi ke halaman upload.
5) Sebuah skrip C99 GUI akan muncul dengan banyak pilihan dan rincian.
6) Carilah rincian server jika safe mode on atau off. Jika mode aman adalah off maka seluruh web server dapat
dikontrol oleh script. Jika pada kemudian pada direktori di mana script shell C99 upload hanya dapat
dikontrol oleh script.
7) Selain mampu chmod, memodifikasi dan menghapus file C99 juga memungkinkan pengguna brute nya
memaksa ftp tetapi membutuhkan file kamus tambahan yang bisa lari ke ratusan MBs.
Catatan: Anda juga dapat menjalankan script ini pada server web oleh RFI
Cari dan download script dari google. atau download dari link C99
tetapi link atas mungkin tidak bekerja karena script akan segera dihapus oleh host file.
Ini shell C99 memungkinkan penyerang untuk membajak server web php mengaktifkan. Script ini sangat user friendly dan memiliki antarmuka yang sangat baik sehingga mudah digunakan. Anda dapat mengeluarkan perintah php untuk menjalankan pada server web. Anda dapat menggunakan salah satu perintah yang diberikan dalam script untuk berjalan di web server.
CATATAN: Tulisan ini hanya untuk tujuan pendidikan. Kami saran Anda untuk tidak mencoba ini di situs web apapun. Penggunaan script ini pada situs web apapun adalah ilegal.
Untuk hacking website dengan menggunakan skrip C99 ikuti langkah-langkah.
1) Cari situs web php dengan sebuah uploader.
2) Uji uploader file yang akan aman atau tidak dengan meng-upload file dengan ekstensi executable server.
3) Jika uploader yang tidak aman kemudian meng-upload shell script.
4) Jalankan kode upload dengan menavigasi ke halaman upload.
5) Sebuah skrip C99 GUI akan muncul dengan banyak pilihan dan rincian.
6) Carilah rincian server jika safe mode on atau off. Jika mode aman adalah off maka seluruh web server dapat
dikontrol oleh script. Jika pada kemudian pada direktori di mana script shell C99 upload hanya dapat
dikontrol oleh script.
7) Selain mampu chmod, memodifikasi dan menghapus file C99 juga memungkinkan pengguna brute nya
memaksa ftp tetapi membutuhkan file kamus tambahan yang bisa lari ke ratusan MBs.
Catatan: Anda juga dapat menjalankan script ini pada server web oleh RFI
Cari dan download script dari google. atau download dari link C99
tetapi link atas mungkin tidak bekerja karena script akan segera dihapus oleh host file.
by Hij4ckCoz3 2011 , Parung Cyber Crew
Jumat, 15 Juli 2011
Web Security Dojo v.1.2 Released
Berbagai aplikasi web alat pengujian
keamanan dan
aplikasi web yang rentan ditambahkan ke instalasi yang bersih dari Ubuntu v10.04.2, yang ditambal dengan update
yang sesuai
dan
penambahan VM untuk mudah digunakan.
Web Security Dojo adalah untuk belajar dan berlatih teknik-teknik keamanan web aplikasi pengujian. Ini sangat ideal untuk diri-mengajar dan penilaian keterampilan, serta kelas-kelas pelatihan dan konferensi karena tidak memerlukan koneksi jaringan. Dojo ini berisi semua yang diperlukan untuk memulai - alat, target, dan dokumentasi.
Download Web Security Dojo from Here
Untuk menginstal Dojo Anda pertama kali menginstal dan menjalankan VirtualBox 3.2 atau lambat, kemudian "Impor Peralatan" menggunakan Dojo itu file yang OVF.
Baca Tutorialnya disini
by Hij4ckCoz3 2011 , Parung Cyber Crew
Web Security Dojo adalah untuk belajar dan berlatih teknik-teknik keamanan web aplikasi pengujian. Ini sangat ideal untuk diri-mengajar dan penilaian keterampilan, serta kelas-kelas pelatihan dan konferensi karena tidak memerlukan koneksi jaringan. Dojo ini berisi semua yang diperlukan untuk memulai - alat, target, dan dokumentasi.
Download Web Security Dojo from Here
Untuk menginstal Dojo Anda pertama kali menginstal dan menjalankan VirtualBox 3.2 atau lambat, kemudian "Impor Peralatan" menggunakan Dojo itu file yang OVF.
Baca Tutorialnya disini
by Hij4ckCoz3 2011 , Parung Cyber Crew
Langganan:
Komentar (Atom)