Magento Bot with Bing Dorker

Assalamualaikum, selamat malam gannnn......
Sorry baru ini gua posting lagi di karenakan sekarang udah jarang dpt exploit" fresh wkwkwkk dan bingung juga mau bikin tutor apa. :v
Okee gausah panjang lebar, dalam kesempatan kali ini gua pgn share sebuah tools untuk para Logger yang doyan mainan magento buat cari cc dll :v.

Ini dia penampakan toolsnya:

Tools ini sudah dibuat sedimikian rupa dan pastinya enak dipake :v aman gaada logger karena gua share secara [open source] :).
Dalam tools ini, gua menggabungkan beberapa tools sekaligus + membuatnya semakin mudah dengan memakai Bing Dorker. ( duduk tenang aja gannn, masukin dork -> tunggu mangsa hehehehe :D ).

fitur:
- Magento Add Admin Xploit
=> detect filesystem => detect downloader+permission => get info average order,lifetime sales,quantity order => get info total customers => get info installed packages. - Magento Webforms Xploit
Link-> http://pastebin.com/aGh7w1Ub
*NB: usage: php namafile.php 'bing_dorker'
*NB: php magento.php '"/customer/account/login" site:it'
*NB: $shell = "id.php"; // ganti id.php dengan shell kalian yang berada dalam 1 Folder dengan tools ini *NB: INGET DISINI KITA PAKE DORK BING, BUKAN GOOGLE DORK!!!
dalam tools ini, result target yang berhasil di exploit tidak otomatis tersimpan dalam sebuah file.txt, jadi kalian harus cek 1 1 target kalian yang berhasil di exploit di Terminal/CMD nya langsung. ( maaf gan, ga kepikiran , keburu di publish wkwkw )
Oke sekian duluuu,
Thanks to: Mr. Magnom ( for bing dorker )
Greetz: IndoXploit - Sanjungan Jiwa - Jloyal - Jancok Sec - Res7ock Crew

Lokomedia (SQL Injection) + Auto Scan Admin Login + Auto Crack Password

Hallo~~ selamat malam, kali ini gua akan share tools lagi buat kalian penyuka exploit sql injection CMS Lokomedia.
Biar ga pusing-pusing, ini tools gua buat supaya lebih mudah aja hehehe
Oke Langsung aja ini dia penampakan tools nya: [ CLI ]

[ Web Based ]

Cara Pake: [CLI]
- Masukan file lokomedia.php dan target.txt nya kedalam 1 folder yang sama.
- format target di dalam file target.txt

http://target.com/
http://target2.com/
http://target3.com/
http://target4.com/

- bukalah cmd (install xampp terlebih dahulu jika kalian menggunakan OS Windows).
jalankan command berikut: php lokomedia.php target.txt

Cara Pake: [Web Based]
- upload script ke hosting/shell kalian.
- buka file exploiter tersebut ( web.com/lokomedia.php )
- masukan targetnya

http://target.com/
http://target2.com/
http://target3.com/
http://target4.com/

LINK [ CLI ] -> http://pastebin.com/sPpJRjCZ
LINK [ Web Based ] -> http://pastebin.com/0STXanAx mudah bukan? hehehe.
Oke Sekian dulu, selamat malamm ^^

Prestashop Module Blocktestimonial File Upload

================================================================
[+] Google Dork: inurl:"/modules/blocktestimonial/"
[+] Vuln: www.target.com/modules/blocktestimonial/addtestimonial.php
[+] Tutorial:
- http://www.tkjcyberart.org/2016/12/prestashop-blocktestimonial-upload.html
- http://3xploi7.blogspot.co.id/2016/12/pretashop-blocktestimonial-upload-shell.html
[+] Exploiter: http://pastebin.com/8kvqR7u1 ( Web Based )
================================================================

Saya sudah membuat tools untuk memudahkan kita mengexploit targetnya....

Silakan download exploiternya, lalu upload di shell/hosting untuk menjalankannya Oke Sekian dulu, happy hacking :D
NB: Sumber tertera diatas

Mengenal tentang Enkripsi, Hash, dan Encode

Hallooo, selamat malam kawan. Sesuai judul, kali ini saya akan membahas tentang "Apa itu Enkripsi, Hash, dan Encode?". Apa mereka semua ber-arti sama? atau bagaimana yaaa...........

Oke, artikel ini gua buat untuk membantu kawan-kawan semua yang bingung untuk mengenalis jenis-jenis hash password yang biasanya kita temukan saat kita men-dump sebuah data hasil "SQL Injection" ataupun menjelajahi isi dari databasenya sebuah website. Tentu saja, seiring berkembangannya dan Majunya teknologi, Semua data yang bersifat sensitif ataupun data rahasia/privasi yang seharusnya dilindungi pasti tidak mudah untuk mendapatkannya begitu saja. Walaupun sudah kita dapatkan, namun pastinya data itu di enkripsi dengan bahasa-bahasa/tulisan aneh yang sebelumnya tidak kita kenali jenis apa ini. Oke mari kita ke pokok bahasan.
Hash berkaitan erat dengan Enkripsi. Tentunya Hash dan Enkripsi memiliki pengertian berbeda. Mari kita simak.
Apakah sebenarnya yang dimaksud Hash itu Sendiri?
- Hash adalah hasil enkripsi dari sebuah password atau informasi yang dianggap penting.
Lalu, apa enkripsi itu?
- Enkripsi adalah proses mengamankan suatu informasi dengan membuat informasi tersebut tidak dapat dibaca tanpa bantuan pengetahuan khusus ( http://id.wikipedia.org/wiki/Enkripsi ).
Ada beberapa tipe hash diantaranya:
1. MD4 (Message-Digest algortihm 4)
– MD4 dibuat oleh Ronald Rivest pada Oktober 1990, MD4 adalah hash function yang dipakai sebelum MD5, namun karena banyaknya kelemahan MD4 membuatnya diganti oleh MD5.
– panjang 16 bytes (32 karakter)
– contoh : 31d6cfe0d16ae931b73c59d7e0c089c0

2. MD5 (Message-Digest algortihm 5)
– MD5 di desain oleh Ronald Rivest pada tahun 1991 untuk menggantikan hash function sebelumnya, MD4. Pada tahun 1996 (http://id.wikipedia.org/wiki/MD5)
– digunakan di phpBB v2.x, Joomla versi dibawah 1.0.13 dan digunakan oleh beberapa CMS dan forum
– panjangnya 16 bytes (32 karakter)
– contoh : c4ca4238a0b923820dcc509a6f75849b

3. MD5($pass.$salt)
– Digunakan di WB News, Joomla versi 1.0.13 dan versi diatasnya
– panjang 16 bytes (32 karakter)
– hash yang satu ini dimulai dari hashnya duluan kemudian dilanjutkan oleh saltnya
– contoh : 6f04f0d75f6870858bae14ac0b6d9f73

4. MD5($salt.$pass)
– Digunakan di osCommerce, AEF, Gallery dan beberapa CMS lainnya
– panjang 16 bytes (32 karakter)
– hash yang satu ini dimulai dari saltnya duluan kemudian dilanjutkan oleh hashnya
– contoh : f190ce9ac8445d249747cab7be43f7d

5. Md5(md5($pass).$salt)
– Digunakan di vBulletin, IceBB dan cms lainnya
– panjang 16 bytes (32 karakter)
– contoh : 6011527690eddca23580955c216b1fd2

6. MD5(WordPress)
– Digunakan di wordpress
– panjangnya 17 bytes (34 karakter)
– hashnya dimulai oleh tanda $P$ kemudian dilanjutkan oleh sebuah karakter (karakter yg paling sering dipakai adalah huruf “B”)
kemudian dilanjutkan oleh saltnya (8 karakter yg disusun secara acak, dalam contoh ini saltnya adalah “12345678″) lalu dilanjutkan oleh hashnya
– contoh : $P$B123456780BhGFYSlUqGyE6ErKErL01

7. MD5(phpBB3)
– Digunakan di CMS phpBB 3.x.x
– panjangnya 17 bytes (34 karakter)
– hashnya oleh tanda $H$ lalu dilanjutkan oleh sebuah karakter (karakter yg paling sering dipakai adalah nomor “9″), kemudian dilanjutkan dengan saltnya (8 karakter yg disusun secara acak, dalam contoh yg saya berikan saltnya adalah “12345678″) kemudian dilanjutkan oleh hashnya
– contoh : $H$9123456785DAERgALpsri.D9z3ht120

8. SHA-1(Secure Hash Algorithm)
– Diciptakan oleh National Institue of Standars and Technology atau U.S. Federal Information Processing Standard digunakan oleh beberapa CMS dan beberapa forum
– panjangnya 20 bytes (40 karakter)
– contoh : 356a192b7913b04c54574d18c28d46e6395428ab

9. SHA-256(Secure Hash Algorithm)
– hashnya dimulai oleh tanda $5$ kemudian dilanjutkan dengan saltnya (8 karakter yg disusun secara acak, dalam contoh yg saya berikan saltnya adalah “12345678″) lalu dilanjutkan oleh karakter “$” kemudian dilanjutkan oleh hashnya
– panjang 55 karakter
– contoh : $5$12345678$jBWLgeYZbSvREnuBr5s3gp13vqi…

10. SHA-512(Secure Hash Algorithm)
– hashnya dimulai oleh tanda $6$ kemudian dilanjutkan dengan saltnya (8 karakter yg disusun secara acak, dalam contoh yg saya berikan saltnya adalah “12345678″) lalu dilanjutkan oleh karakter “$” kemudian dilanjutkan oleh hashnya
– panjang 98 karakter
– contoh : $6$12345678$U6Yv5E1lWn6mEESzKen42o6rbEm…
Berikut adalah contoh dari sekian banyaknya HASH, dalam prosesnya HASH merupakan "One Way Hash" / Hash satu arah, jika sebuah plain-text atau text biasa sudah di Hash, maka untuk mengembalikannya, kita tidak bisa menggunakan sebuah fungsi. Jadi saat sebuah data sudah di Hash, maka hasil plain-text nya tidak dapat kita kembalikan, kecuali kita "Sendiri" tau, data apa yang di hash tadi.

Lalu Bagaimana sebuah website seperti (www.hashkiller.co.uk) bisa men-decrypt / memecahkan Hasil Hash MD5/lainnya, menjadi plain-text biasa?

Website penyedia decrypter online, memiliki sebuah database hasil Hash didalamnya, artinya. Ketika kita menginputkan sebuah Password Hash MD5, website ini nantinya akan mencocokan data apa yang sesuai dengan Hash tadi. Jika datanya cocok, maka akan di informasikan melalui Ouput, bahwa HASH xxxxx, berisi text "ANU". Data ini sudah disiapkan dalam database website penyedia decrypter Online tersebut.

Bisa Melalui cara "Brute Force" namun akan sangat lama, bahkan berhari-hari, untuk mencocokannya.

Oke Selanjutnya, kita ke "Encode".
Apa itu Encode?
- Encode tidak termasuk kedalam Hash ataupun Enkripsi.
- Encode merupakan suatu Perkara perubahan format / bentuk data. Tujuannya pun sama, mengubah sebuah plain-text biasa, menjadi rangkain code (bahasa aneh).

Yang membedakan Hash dengan Encode adalah dalam prosesnya, Sebuah Text yang ter-Encode, bisa dapat kita kembalikan lagi seperti semua dengan sebuah fungsi tertentu dalam setiap bahasa pemrograman. Contohnya:

Text: Agus Setya R
Base64: QWd1cyBTZXR5YSBS -> (Encode dengan fungsi php , base64_encode("Agus Setya R") )
Base64: aW5kb3hwbG9pdA==
Text: indoxploit -> (Decode dengan fungsi php, base64_decode("aW5kb3hwbG9pdA==") )

Artinya, sebuah Encode dapat kita kembalikan (decode) menggunakan sebuah fungsi bahasa program yang telah disediakan. Beda dengan Hash yang tidak dapat dikembalikan seperti semula menggunakan fungsi.

Berikut merupakan contoh dari Encode (link menuju kepada PHP Function):
1. base32
2. base64
3. str_rot13
4. gzdeflate

Untuk Encode dan Decode anda dapat mempelajarinya sendiri, karena pada masing-masing bahasa program penulisan fungsi dari encode dan decodenya berbeda-beda. Namun, hasilnya akan tetap sama.

Tambahan: https://drive.google.com/file/d/0B8QQwW_htu38ckUxUkNWQlJmWU0/view (Hash Algorithm Linux Password), bagi kalian yang ingin tau dan mengenal bagaimana linux men-Hash password kita.

Oke , sekian dulu bahasan dari saya.
Semoga menambah ilmu, dan yang pasti jangan malas untuk membaca :D, Ilmu itu mahal kawan hahaha, selagi ada manfaatkan lah yang gratis....
Artikel ini diolah dari sumber: http://www.indoxploit.or.id/2017/01/mengenal-tentang-enkripsi-hash-dan.html Lalu selebihnya, kita kembangankan agar menarik di baca....

Deface Website CMS Balitbang [With Exploiter]

Bahan-Bahan :

1. Shell Backdoor yang udh di ubh formatnya, bukan php lagi, tapi .phtml atau .php5
2. Exploiternya,, udah ane tanem nih (Crot Disini)
3. Dork : inurl:/siswa.php intext:Tim Balitbang site:.id

Step by Step :

1. Dorking dlu dah di gugell..

2. Cari targetnya yang mane aje serah lu pade tong.. asal jgn bini orang aje

3. Buka Exploiternya, lalu masukan site targetnya. Username ama Pass nya serah mau diganti apa kaga, defaultnya fayid 123456

4. Setelah klik next, ntaran akal muncul captcha yang harus lu isi dengan bner

5. Kalo udeh tinggal klik go aje,, ntar muncul beginian ↓

6. Kalo udeh muncul noh yang gambar sebelah captcha (lupa di tandain) klik dah tuh yg di kotak merah ⇑

7. Kalo udeh muncul begituan (kotak merah pertama) itu dah pasti vuln (tapi kaga tau juga :v),, nah klik "Lewat sini" ↑↑↑↑↑

8. Ikutin gambar aje yehh, ↑↑ dah pegel ngetik dari tadi... untung kuota gratis :v

9. Noh kan udah muncul tulisan "yes,, ahhh ahhh, oh yess,,," ↑↑↑
    Lu pencet "Telusuri" buat upload shell lu,, inget yg udh di ganti formatnya jadi .php5 / .phtml

10. Ngapain lagi ?? tinggal klik simpan aje dah ahh..

11. Gambar yang ane kotakin itu kaga tau penanda vuln atau bukan,, tp buat ngecek nya langsung akses aja,, nohh liat gambar udeh gw tandain..

12. Kalo "Not Found" atau apalah itu silahkan cari target lagi yoo :v

 

  SUMBER:GSH