This is featured post 1 title

Replace these every slider sentences with your featured post descriptions.Go to Blogger edit html and find these sentences.Now replace these with your own descriptions.

This is featured post 2 title

Replace these every slider sentences with your featured post descriptions.Go to Blogger edit html and find these sentences.Now replace these with your own descriptions.

This is featured post 3 title

Replace these every slider sentences with your featured post descriptions.Go to Blogger edit html and find these sentences.Now replace these with your own descriptions.

This is featured post 4 title

Replace these every slider sentences with your featured post descriptions.Go to Blogger edit html and find these sentences.Now replace these with your own descriptions.

Minggu, 06 Oktober 2013

Exploit Chiangraientersoft HTML Injection

Posted by Erza Jullian 16.12, under | No comments

Oke langsung saja ya. Ini exploit yang saya baca semalam di Forum Newbie-Sec .

Google Dork :

inurl:Qread.php?id_ques=

inurl:webboard/Qread.php?id_ques=

Vulnerable at 'Qform.php' at Field Subject/Title



Langkah langkah :

Pertama , dorking dulu nyari target vuln.

Sebagai contoh, target saya adalah : http://www.friends-inter.com/webboard/Qread.php?id_ques=16

Ubah url nya menjadi :

http://www.friends-inter.com/webboard/Qform.php

Nah, ada form yang harus diisi :

Form Subject (paling atas) isi dengan kode html.

lainnya isi ngawur aja kecuali kode chaptcha yang paling bawah.





Dan hasilnya ada di indexnya ;)

http://www.friends-inter.com/webboard/





Sekian tutorial kali ini, semoga bermanfaat .

Thanks to :

Newbie-Security

Sabtu, 05 Oktober 2013

Script Portal IDCA

Posted by Erza Jullian 23.06, under | No comments

Assalamualaikum sobat IDCA :)
Kesempatan kali ini saya akan bagikan script Portal Web yang di coding oleh anak IDCA sendiri.
Tampilannya elegan dan kukira sangat menarik ^_^



Gimana ? tertarik engak ? kalau tertarik silahkan download scriptnya dibawah ini ^_^


Sekian artikel pada kesempatan kali ini, kalau ada yang lain nanti saya kasih tau haha :D

Thanks to my best friend, ID Ozie :)

Content Creator : Bimo Septiawan

Jumat, 04 Oktober 2013

Download Havij pro 1.17 | Cracked

Posted by Erza Jullian 15.41, under , | No comments

Selamat pagi sobat, kali ini saya akan share salah satu tools SQL Injection yang paling populer, apalagi kalo bukan havij :D

Mungkin sudah banyak yang punya karena ini termasuk tools lama. namun baru sempat saya share karena bingung mau posting apa. :3 . Oke langsung saja ini screenshoot nya :





Berikut yang diupdate dari versi sebelumnya :

What's New?

-----------

-Multithreading

-Oracle Blind injection method.

-Automatic all parameter scan added.

-New blind injection method (no more ? char.)

-Retry for blind injection.

-A new method for tables/columns extraction in mssql blind.

-A WAF bypass method for mysql blind.

-Getting tables and columns even when can not get current database.

-Auto save log.

-bugfix: url encode bug fixed.

-bugfix: trying time based methods when mssql error based and union based fail.

-bugfix: clicking get columns whould delete all tables.

-bugfix: reseting time based method delay when applying settings.

-bugfix: utf-8 and unicode encoding





ini Link Downloadnya :

Download Havij Pro 1.17 Cracked



Cara install nya :

Install Havij Pro 1.17

Letakkan Loader.exe di direktori dimana havij Terinstall : C:\Program Files\ITSecTeam\Havij Pro

Lalu buka loader.exe ( run as administrator bila diperlukan )

Lalu klik register (tanpa mengisi apa apa di serial number dan load file)

Maka Havij 1.17 siap digunakan. :)



Sekian postingan kali ini, semoga bermanfaat.

SQL Injection Dengan DroidSQLi Di Android

Posted by Erza Jullian 03.44, under , | No comments

Indonesian Cyber Army - Assalamualaikum, Berhubung saya juga pengguna Android, jadi sedikit saya berbagi bagaimana melakukan exploitasi web yang vulnerable terhadap SQLinjection dengan menggunakan aplikasi DroidSQLI. aplikasi ini sama halnya dengan Havij yang biasa digunakan di OS Windows, hanya saja mungkin fitur2nya yang membedakannya disini.


Silahkan sobat download dulu aplikasinya dan install ke OS Android Smartphone sobat, donlot aja melalui Playstore maupun sobat cari sendiri di google udah banyak :p

Note: Tidak semua website memiliki celah SQLi, So find them before exploiting :p

Quote: "Dalam dunia Hacking tidak ada yg instants dan bisa berhasil dengan mudah! Mereka yg berhasil adalah mereka yg selalu sabar berusaha dan terus mencoba!" By Onix AQua
Pertama, silahkan sobat cari aja target yang akan di exploitasi. gunakan dork atau pake apa aja terserah :p harap di cek dulu bahwa web yang akan diexploitasi tersebut memiliki bug/ celah / kerentanan terhadap SQLinjection. untuk mengetahuinya cukup mudah, sobat tinggal menambahkan tanda petik ( ' ) diakhir url. contoh target saya : http://www.eastodissa.ac.in/news-and-events.php?id=22' setelah ditambahin tanda petik ( ' ) maka akan muncul error yang menandakan bahwa web tersebut memiliki celah SQLinjection.  lihat gambar!


Kemudian masukan web target yang vuln SQLi ke Target Url lalu klik Inject!


Kalo proses injectnya berhasil, maka akan muncul Databasenya. silahkan pilih databasednya untuk mencari Tabel. dalam target saya disini nama databsenya adalah nilakantatrust.


Proses selanjutnya akan muncul Tabel, disini kita akan mencari letak user dan password admin. jadi saya memilih Table est_admin.


 Nah, dalam Tabel tersebut, ada beberapa column yang berisikan data admin. silahkan diceklish Column yang ingin di dump datanya. lalu klik Get Records


Maka akan muncul isi data yang ada pada column tersebut berupa data admin seperti email, username, dan password.


Nah dari column tadi kita dapatkan data yaitu:

Emailid : sswain@isandt.com
Last Loggin : 2013-09-26
Password : isti$$9!5!2013
Signature : Sanjay Kumar Swain
user id : trustadmin

Selanjutnya sobat tinggal mencari halaman adminnya, dan login ke panel admin. seandainya passwordnya berbentuk Hash, maka password tersebut harus di crack terlebih dahulu.Walaupun secara kasat mata, teknik ini sangat mudah apa lagi dengan menggunakan Automatic Tools, tapi cukup sulit juga. beberapa kasus dan kendala yang banyak dihadapi dalam melakukan SQLi yaitu  sulitnya menemukan halaman loggin serta password Hashnya. Disini kita banyak membutuhkan kesabaran dan ketekunan karena tidak ada yg mudah dalam dunia Hacking :p

Sekian tutorial yg dapat saya berikan, jika ada kekurangan mohon di perbaiki :) CMIIW :D semoga bermanfaat yah, wassalam.. :)


Content Creator : Onix AQua





Kamis, 03 Oktober 2013

Cara Mengambil Script Deface dari Mirror Hack-DB

Posted by Erza Jullian 14.49, under | No comments

Sebenarnya ini trik lama ya. Tapi mungkin ada yang belum tau. Jadi kita bisa melihat source script di mirrornya meski webnya sudah di patch :D . Namun kalo bisa yang jangan sama persis, ntar dicap sebagai plagiator. :v

Oke, yang pertama, tentukan dulu mirror yang ingin diambil scriptnya :D

Sebagai contoh :

Hack DB Mirror - kilik saja :p




Mirror

Nah, ganti urlnya menjadi www.hack-db.com/mirror_[id mirror].html

Jadi kalau misalnya http://www.hack-db.com/801817.html ganti menjadi http://www.hack-db.com/mirror_801817.html . Maka tampilannya akan full page :D





Setelah itu ya tinggal di ctrl + U





Sekian tutor dari saya, gunakan dengan bijak :)

Rabu, 02 Oktober 2013

Mengatasi MyBB Theme Error Tidak Bisa Diupload

Posted by Erza Jullian 15.16, under | No comments

Beberapa hari yang lalu saya sempat kebingungan saat mencoba mengganti tema Forum . Semua sudah diupload ke dir /images/ namun problem muncul saat mengimport theme.xml lewat Admin Panel. Ada tulisan "A potential security issue was found in the theme. It was not imported. Please contact the Author or MyBB Group for support." . Saya pun mencoba mencari cara hingga akhirnya bisa memperbaiki tema tersebut sehingga sukses saat di impor.

Oke, langsung saja berikut cara memperbaikinya :

Buka file tema XML nya, lalu edit di bagian :

{$monthnames[$prev_month['month']]} ganti menjadi {$prev_month['month']}

{$monthnames[$next_month['month']]} ganti menjadi {$next_month['month']}



Jika masih gagal, coba cari kode :

{$monthnames[$week_from[1]]} ganti menjadi {$monthnames[$week_from_one]}

{$type_checked[$type['tid']]} ganti menjadi {$checked}



Coba lagi, insya allah theme berhasil di import ;)



Sekian dan semoga bermanfaat.

Selasa, 01 Oktober 2013

Arbitrary File Upload On MediaApie

Posted by Erza Jullian 10.01, under | No comments

Assalamualaikum Wr.Wb ketemu lagi dengan coretan saya yang semrawut hehe. :D
Kesempatan kali ini, saya akan share tutorial Deface yang dibuat oleh temen saya sendiri :D


Okay tanpa basa basi, langsung aja ke tutorialnya :D

#Dork : intitle:"intext:Website by MediaPie"

#POC :

Jika sudah menemukan target dengan dork tadi, pakai exploit diatas, sehingga menjadi :
www.target.com/admin/ajaxfilemanager/ajaxfilemanager/ajaxfilemanager.php

1. Jika sudah, kalian klik "Upload"

2. Jika sudah, pilih file .txt kalian ( karena hanya support txt saja )


3. Jika sukses, cara memanggil filenya yaitu :
http://site-target/admin_images/[YOURFILE]
Quote: "Dalam dunia Hacking tidak ada yg instants dan bisa berhasil dengan mudah! Mereka yg berhasil adalah mereka yg selalu sabar berusaha dan terus mencoba!" By Onix AQua 

Demo Target :

http://theenglishcaravancompany.com/
http://myholidaymonkey.com/
http://creativecouriers.com/ 
http://edenlondon.com/devsite/

This Exploit not support php, html , png, gif

Okay, udah itu ajaa :D
sebelum mengakiri tutorial hari ini, saya ucapkan trimakasih buat temen saya :D

Sumber : http://newbie-security.or.id/

Content Created By Garuda Dot ID


Tags

Blog Archive

Blog Archive