Deface dengan Menggunakan Teknik Exploit FileChucker

FileChucker merupakan salah satu pluggin wordpress yang memiliki celah file upload. Defacer tanpa login dapat mengupload file ke website target dengan memanfaatkan celah pada plugin ini.
Dork yang dapat digunakan:
inurl:/cgi-bin/filechucker.cgi
intext:Toptown File Upload
inurl:/cgi-bin/filechucker.pl
intext:File Upload by Encodable
Masukkan dorknya ke kotak pencarian google, maka target – target akan muncul seperti dibawah ini.

Disini saya memakai contoh www.dlcart.com/cgi-bin/filechucker.cgi. 
Isi form yang kosong. Diisi asal – asalan juga gapapa. Setelah itu cari file agan dengan cara klik tombol browse… Terakhir klik Begin Upload.
Tunggu sampai loadingnya selesai seperti dibawah ini.
Nah kalau loadingnya sudah selesai, maka biasanya tampilannya seperti dibawah ini.
Untuk mengakses file agan, http://site.com/upload/files/file_mu
Note: File yang bisa diupload yaitu .htm, .html, .txt, .jpg, .gif
Content by : Muhammad Fuad Fachrudin

Tutorial Upload Shell Dengan Tamper Data

Sebelumnya akan saya jelaskan dulu prinsip kerja tamper data ini. Tamper data adalah sebuah add ons atau pengaya pada browser Mozilla Firefox yang digunakan para defacer untuk mengakali sebuah website, dimana ketika website dalam kondisi normal hanya dapat digunakan untuk mengupload file – file tertentu saja, misal foto. File pada foto biasanya memakai ektensi .jpg, .png, .gif, dll. Namun dengan tamper data ini file gambar dapat diubah menjadi file .php (shell). Caranya seperti apa, langsung aja kita praktekkan.
Pertama download shellnya disini http://www.mediafire.com/view/k4lf4ietwc6akxc/x.php
Jangan lupa download pengaya Tamper Data juga disini https://addons.mozilla.org/En-us/firefox/addon/tamper-data/
Ini file shellnya. x.php
Sekarang kita rename shellnya menjadi file gambar. Caranya klik kanan pada file shell tersebut, kemudian klik rename. Ubah namanya dari x.php menjadi x.php.jpg
 
Maka hasilnya akan jadi seperti dibawah ini
 .
Sekarang cari web yang bisa buat upload foto. Caranya bagaimana? Bisa dengan dork, atau googling siapa tau nemu web yang dimaksud J
Contoh web yang bisa upload foto seperti dibawah ini. Sorry namanya saya sembunyikan, gak enak sama yang punya. Web tetangga soalnya. Wkwkwk :D
Kebetulan ini tempat pendaftaran, ya udah isi asal – asalan aja gapapa :)
Klik tombol Browse… pada form upload foto.
 
Sekarang cari file shell yang udah kita rename tadi, setelah itu klik Open.
   
  
Jangan di klik daftar atau upload dulu sebelum mengaktifkan tamper data. Sekarang aktifkan dul tamper datanya. Klik Tools pada menubar, kemudian klik Tamper Data.
 
Klik Start Tamper, kemudian klik icon Minimize seperti dibawah ini.
 
Nah setelah tamper data aktif, sekarang tekan Daftar atau upload.
 
Saat muncul jendela seperti dibawah ini, klik Tamper.
 
Diamkan saja, tunggu sampai muncul Tamper Popup seperti dibawah ini.
Pada Tamper Popup di bagian POST_DATA, cari nama shell kita tadi (namanya x.php.jpg) setelah ditemukan seperti gambar di bawah ini, rename x.php.jpg menjadi x.php kemudian klik OK.
 
Buka kembali tamper data dan nonaktifkan. Caranya klik Stop Tamper seperti dibawah ini, kemudian close jendelanya.
 
Nah shellnya udah terupload sekarang. Sekarang cari gambar yang ada di web tersebut. Gambar apa aja boleh. Misal contohnya pada web ini ada gambar jempol. Klik kanan gambar tersebut kemudian klik Copy Image Location.
Kemudian paste di address bar seperti dibawah ini.
Sekarang ganti url nya menjadi url shell kita tadi, yaitu x.php seperti dibawah ini kemudian tekan enter.
Berhasil. Wkwkwk :D

Yang perlu diingat disini gak semua tempat upload file bisa ditamper.
Mungkin itu aja, maaf kalau terlalu rumit. Soalnya ya memang seperti inilah caranya, hehe :p
Created by : Muhammad Fuad Fachrudin

Tutorial Deface dengan Menggunakan Webdav

Mungkin tutorial ini sudah banyak yang tau dan sudah dipraktekkan. Namun saya juga sering menjumpai para member yang bertanya-tanya, cara mencari target webdav. Karena mungkin puluhan website sudah dia coba namun hasilnya 0 semua. Hehe, iya lah wong webdav itu Cuma untuk web yang berbasis asp. Apa itu asp? Intinya ya sejenis html, php, dll. Cari aja di google ada koq. Tapi ada juga lho yang gak bisa nggunain tool webdav ini, sebenernya gampang koq, Cuma yang sulit dibagian nyari targetnya doang :p
Oke langsung aja, pertama download dulu webdavnya disini:
 http://www.mediafire.com/download/lzgial5785kbi1c/ls-rootkit_atau_webdavhmei7.zip

Untuk mencari web yang vuln webdav bisa pakai dork dibawah ini:

inurl:Hmei7.asp;.txt
inurl:Umer.asp;.txt
intitle:”index.of” intext:”(Win32) DAV/2? intext:”Apache”
intitle:”index.of” intext:”(Win32) DAV/2? intext:”Apache” site:edu
intitle:”index.of” intext:”(Win32) DAV/2? intext:”Apache” site:gov
intitle:”index.of” intext:”(Win32) DAV/2? intext:”Apache” site:YOURCOUNTRY (misal: my, us, th. dll)
inurl:webdav
inurl:.com.x/*.asp
inurl:.edu.x/*.asp
inurl:.gov.x/*.asp
inurl:.net.x/*.asp
inurl:.org.x/*.asp
Ganti tulisan x dengan domain negara ( contoh inurl:org.co.il/*.asp ).
Download dulu tool webdav disini [url].
Caranya, copy salah satu dork diatas. Sekarang pergi ke www.google.com dan paste dork tadi ke kotak pencarian seperti gambar dibawah ini.
                                                               
Sekarang buka tool webdav. Jangan lupa matikan antivirus dulu sebelum buka webdav. Ini adalah tampilan webdav. Keren kan, ada gambarnya Patrick. Wwkwkwk :v
Pertama klik WebDav pada menubar, kemudian klik Asp shell maker
.

Tunggu sampai muncul jendela baru seperti dibawah ini, kemudian klik menu Setting.

Nanti muncul form untuk mengatur nama file dan script seperti dibawah ini, klik Load Shell from file

Sekarang cari script deface agan yang udah disiapkan. Filenya boleh dalam bentuk .html atau .txt, setelah itu klik open.

Lihat scriptnya udah berubah kan. Sekarang edit nama filenya pada menu Name of your shell. Disini saya kasih contoh namanya isc.html dan kalo udah diganti, tekan tombol Hide me.


Nah senjata udah siap dipakai sekarang masukkan targetnya. Xixixi, kaya udah mau tempur aja :v
Targetnya diisi sesuai hasil pencarian dork di google tadi. Caranya klik tombol Add Site.


Masukkan url target kemudian klik OK.

Sekarang klik Serang !!! (jangan lupa baca doa biar berhasil. Ckckck :D)


Klik OK aja.

Nanti kalo berhasil, ada tulisan seperti gambar dibawah ini.


Copy url diatas ( http://www.e-ctasia.com/isc.html ) kemudian paste di address bar dan tekan enter.
Nih hasilnya :D

Kalo gak berhasil, coba lagi cari target lain. Udah itu aja dan sekian tutorial menggunakan webdav. Semoga tutorialnya mudah dipahami :)
Content by : Muhammad Fuad Fachrudin

Perpustakaan ISC

Assalamu’alaikum Wr. Wb.
Malem – malem diajak mas ponakan ke tempat kerjanya, eh ternyata ada lepy yang nganggur. Ya udah pinjem aja dan iseng – iseng buat artikel ini. Xixixi :v
News: Setelah beberapa hari yang lalu website ISC yang beralamatkan www.indonesiasecuritycyber.tk mati, sekarang website ISC dibangun lagi dan dengan update beberapa fitur yang salah satunya adalah ISC Mobile dan tambahan menu lainnya.
Sedikit cerita tentang perpustakaan ISC. Dulu saya suka banget yang namanya mengoleksi artikel – artikel, ebook, video, dll yang berhubungan tentang hacker. Sampai – sampai saya gak sempet baca semuanya, hehehe :D. Oleh karena itu saya dapet ide untuk membuat blog dengan tujuan membagikan semua artikel – artikel ini. Namun saya rasa itu terlalu sulit, bukan karena gak bisa tapi karena saking banyaknya jadi ya terlalu melelahkan kalo di edit terus di posting ke blog, dll. Setelah saya piker – piker akhirnya saya putuskan untuk membuat perpustakaan online yang berisi tentang artikel, majalah, ebook, video, dll tentang hacking dan sejenisnya. Jadi kalau mau nyari referensi – referensi tentang hacking atau trik – trik PC, bisa masuk ke perpustakaan.
Langsung aja nih di lihat SSnya, hehe :

Tampilannya cukup sederhana dan tidak terlalu sulit untuk diakses. Langsung aja ya ke TKP :D
Untuk pengguna seluler juga dapat mengakses media perpustakaan ISC dengan masuk ke http://m.indosecuritycyber.tk/perpustakaan
Mohon maaf jika masih sederahana, karena masih perlu perbaikan – perbaikan. Dan mohon apabila menemukan link yang rusak, segera melapor ke saya yaa. Xixixi :)
Wassalamu’alaikum Wr. Wb.
Content by : Muhammad Fuad Fachrudin