Codes Xploit: Security
Pages
Showing posts with label Security. Show all posts
Showing posts with label Security. Show all posts

Cara Install dan Menggunakan ClamAV di Linux Server

 
Lama tidak posting mengenai server security. Kali ini saya akan sharing cara melindungi vps dari malware menggunakan ClamAV. Ini merupakan antivirus paling umum digunakan karena gratis dan performanya cukup bagus.
Read More

Cara Deface Roxy File Manager

 
yu wazzap gaes >:( kali ini gue mao share cara deface dengan Roxy File Manager
yaudah berhubung udah malem yaudah deh langsung aja >:(

dork: intitle:"Roxy File Manager"
         inurl:fileman/uploads/
*kembangkan
ext shell : .php56 .php.fla, .php.xxx , .php5 .php6, .php.xxxjpg , .php.orion , .php.h3ll dll
pertama klean dorking di google :) trus cari target klean
nah abis itu exploit dengan
site.com/path/fileman/index.html <- kurang lebih seperti itu :'v
Live Target ainx : http://canhogiaresaigon.com.vn/quanly/fileman/index.html












abis itu upload shell kalean
Foto saat upload shell














nah klo kek gitu bisa gan sekarang tinggal akses deh
akses ? site.com/path/filemanager/Uploads/shell.php.fla












heheheheheheheheeh mudah kan ? Tinggal tebas aja tuh kwowkowkokwowkokw
oh iya jan lupa Like fp kita ya hehehehehe

Download Havij 1.16 pro Portable Crack

 
yup :'v kali ini gua mau share tools andalan gua klo maen sqli yaitu Havij :'v
ya sedikit penjelesan tentang havij ini
havij adalah sebuah alat untuk melakukan penetrasi terhadap wesite yang mempunyai vulnerability di
Sql Injection :'v













ini tools karena namanya crack jadi otomatis udah full fiture :'v 
ok deh langsung aja ke link donlodnya :'v 

Download Gan

Lapor Klo link rusak ok ;)

Admin Finder (Python Script)

 

Admin Finder Python Script 

yop kembali lagi bersama gua Kyu_Kazami hehehehehehe 
kali ini gue mau bagiin admin finder script :3 
buat yang suka maen sql tapi gk tau admin findernya pake ini aja 
List bisa di kurang ato ditambah :3 
BTW ini sc bukan punya gue :'v w nemu di google cuman di share doang 
Ini punya nya Lunatic Code w cuman share doang
sc nya : disini
install python terlebih dahulu gan 

Penampakannya 
Admin Finder (Python Script)














Penggunaannya cukup mudah 
cuman ketikkan : python adminfind.py
abis itu masukin url yang mau dicari admin loginnya

ADM V2
nah cukup mudah bukan ? 
add fb saya juga hehe 

Blokir WordPress User Enumeration dengan Nginx

 
Blokir WordPress User Enumeration dengan Nginx - Memblokir enumerasi username merupakan upaya untuk mencegah terjadinya peretasan di blog atau cms WordPress. Karena jika attacker berhasil mendapatkan daftar username di WordPress, kesempatan mereka untuk melakukan bruteforce semakin terbuka karena sudah mendapatkan daftar username pasti. Nah di kesempatan kali ini saya akan share cara block user enumeration dengan rule nginx, jadi bukan dengan plugins.
Read More

Cara Setting Custom Domain Untuk Ngrok

 
Beberapa waktu yang lalu kita membahas Port Forwarding Dengan Ngrok. Nah ternyata Ngrok sendiri bisa disetting menggunakan Custom Domain. Jadi mungkin yang punya domain sendiri lebih memilih menggunakan custom domain supaya lebih mudah diingat.
Read More

Cara Menyembunyikan Versi WordPress Yang Terinstall

 
Cara Menyembunyikan Versi WordPress Yang Terinstall - Menyembunyikan versi WordPress yang kita install merupakan langkah pencegahan jika sewaktu waktu versi WordPress yang kita install terdapat celah atau bug. Karena scanner seperti wpscan akan mengekspos seluruh celah yang ada jika situs kita menjadi target scan.
Read More

Deteksi Security Misconfiguration pada Konfigurasi Nginx Dengan Gixy

 
System Administrator pun tak luput dari kesalahan karena kita juga manusia. Adakalanya saat melakukan konfigurasi sistem untuk hardening security malah memunculkan celah yang dapat dieksploitasi attacker. Dan salahsatu kesalahan fatal adalah saat kita melakukan kesalahan / miskonfigurasi pada web-server yang sedang berjalan, yang dalam kasus ini kita menggunakan Nginx.
Read More

Antisipasi Serangan DDOS Dengan Nginx dan Fail2ban

 
Antisipasi Serangan DDoS Dengan Nginx dan Fail2ban - Bagi pengelola server, serangan DDoS merupakan ancaman serius karena dapat menyebabkan situs lumpuh atau tidak dapat diakses. Hal ini dikarenakan resource atau sumber daya yang dimiliki oleh server kita benar benar "dihabiskan" sampai server tidak lagi dapat menjalankan fungsinya dengan baik.
Read More

Memasang Kippo SSH Honeypot di Debian dan Ubuntu Server

 
Memasang Kippo SSH Honeypot di Debian dan Ubuntu Server - Beberapa hari yang lalu salahsatu server yang saya kelola mengalami percobaan bruteforce service SSH. Memang tidak sampai ada ratusan atau ribuan percobaan password yang masuk karena memang sudah saya buatkan rule fail2ban dimana salah memasukkan password sebanyak tiga kali akan dibanned dari server melalui rule iptables selama dua hari.
Read More

Menyembunyikan Hints Pada Pesan Error Login WordPress

 
Hallo.. kali ini saya akan membagi sedikit tips mengenai tweak security bagi kalian yang menggunakan cms wordpress. Pada tutorial kali ini kita akan membahas mengenai menghilangkan login hints saat login ke wordpress.
Read More

Port Forwarding Dengan Ngrok

 
Oke kali ini mau berbagi sedikit tips buat kalian yang tidak memiliki ip publik dari provider internet yang kalian pakai, kalian bisa menggunakan ngrok sebagai alternatif. Cara penggunaannya pun sangat mudah.
Read More

Gandeng Offensive Security, Microsoft akan Rilis Windows 10 Hacker Edition

 
Microsoft kembali membuat gebrakan. Setelah bekerjasama dengan Canonical untuk menghadirkan "Ubuntu on Windows", kali ini mereka bekerjasama dengan Offensive Security untuk pengembangan Windows 10 Hacker Edition.
Read More

Patch Bug Sqli Injection #1

 
Path Sqli Injection #1
kali ini untuk share gimana sih cara Patch Bug Sqli Injection ? tutorial sebelumnya sudah jelaskan gimana cara deface teknih sqli , kali ini untuk Patch tutup celah Sqli Injection, emang sih Bug ini sangat berbahaya karena bisa mencuri database dalam website itu. mari simak tutornya :)

Contoh BUG Sqli Injection :
<?php
$Id = $ _GET ['id']; //Dapatkan nilai id dari halaman sebelumnya 15 ...
$kayit = mysql_query("SELECT * FROM makale WHERE id=$id");
?>
  
Kode di atas menunjukkan 15 angka, kode tersebut hanya berisi integer yang perlu diperhatikan bahwa nilai numerik dan kode SQL berbahaya dari berbahaya jumlah id yg akan melakukan berbagai proses. Tahap ini kita perlu mengambil metode tindakan GET mengakses database.Untuk mengjangkal BUG nya tambahkan kode di bawah ini :

<?php
$id = mysql_real_escape_string($id);
?> 

menjadi :

<?php
$Id = $ _GET ['id']; //Dapatkan nilai id dari halaman sebelumnya 15 ...
$id = mysql_real_escape_string($id);
$kayit = mysql_query("SELECT * FROM makale WHERE id=$id");
?>

sekian dari gw untuk Patch Bug Sqli Injection #1 , next Patch Bug Sqli Injection #2
Grup : Tamvan Wes Here!

Download SpywareBlaster 5.5

 
Family Attack Cyber
Khusus Yang suka Kluyuran di Internet" apa lagi buka web bokep , saat deface dll. Bisa kena Bahaya loh ? Tidak Percaya ? Buktikan!.
Mari kita Kenalkan SpywareBlaster
SpywareBlaster bekerja bersama peramban web Anda dan setup keamanan yang ada, untuk menyediakan pertahanan berlapis-lapis yang kuat terhadap sisi buruk dari web. Tidak perlu memilih - menjaga alat yang ada dan software favorit Anda, dan menambah pelengkap, perlindungan sungguh-sungguh SpywareBlaster ini.

New in this version:
-Enhanced Windows 10 support
-Enhanced Google Chrome support
-Enhanced Mozilla Firefox support
-Improved Windows 10 Insider builds support.
-Improved support for the latest versions of Google Chrome.
-Improved support for the latest versions of Mozilla Firefox.
-Fixed issue that could have prevented the UI from opening in certain rare cases.
-Numerous other bug fixes, optimizations, and tweaks.

This 5.5 release provides enhanced protection, browser support, performance, and bug fixes.
Download SpywareBlaster Here is Gans B|

System Requirements: Windows 2000, XP, Vista, 7, 8, and 10. (32 and 64-bit)

Enjoy Keep Smile is Crootz :v Maklum kata" anak jaman sekarang wkwkkwkw
Join grub kami :) : Family Attack Cyber 

Mongoaudit - MongoDB Auditing and Pentesting Tool

 
Kembali lagi kali ini kita membahas masalah security. Yup, kita akan membahas mengenai Mongoaudit, GUI tool yang berguna untuk melakukan audit keamanan di MongoDB mu. Hal ini tentu akan bermanfaat karena kita jadi tau tindakan apa yang akan diambil selanjutnya.
Read More

Hardening HTTP Security Headers Pada Linux Server

 
Haloo.. sebelumnya maaf karena jarang post. Sibuk dengan revisi laporan tugas akhir soalnya haha. Oke post ini adalah lanjutan dari post sebelumnya tentang hardening http-headers. Content Security Policy sendiri merupakan salahsatu komponen dalah hardening http-headers. Dan sekarang kita akan membahas apa apa saja yang perlu disetting pada http-header agar server lebih aman.
Read More

Kumpulan Type-Type Hash & Enkripsi Lengkap!

 
Kumpulan Type-Type Hash & Enkripsi Lengkap!


Biasanya pasti bingung kan jika menemukan password & tidak tahu ? ya ini biasanya yang lagi main SQLI , Lokmed , dll :v , Hash sama dengan kaitannya dengan Enkripsi (decrypt). Nah apakah arti hash itu sendiri ? Hash adalah hasil enkripsi dari sebuah password atau informasi yang dianggap penting. Sedangkan Enkripsi adalah proses mengamankan suatu informasi dengan membuat informasi tersebut tidak dapat dibaca tanpa bantuan pengetahuan khusus. Oke mari kita lanjutt :)

DES (Unix)
Contoh: IvS7aeT4NzQPM
Digunakan di Linux dan OS lain yang sejenis.
Panjang: 13 karakter.
Keterangan: Dua karakter pertama adalah garam (karakter acak, dalam contoh kita garam adalah string "Iv"), maka ada mengikuti hash yang sebenarnya.


Domain Cached Credentials
Contoh: Admin: b474d48cdfc4974d86ef4d24904cdd91
Digunakan untuk caching password dari domain Windows.
Panjang: 16 bytes.
Algoritma: MD4 (. MD4 (Unicode ($ pass)) Unicode (strtolower ($ username)))


MD5 (Unix)
Contoh: $ 1 $ 12.345.678 $ XM4P3PrKBgKNnTaqG9P0T /
Digunakan di Linux dan OS lain yang sejenis.
Panjang: 34 karakter.
Keterangan: Hash dimulai dengan $ 1 $ signature, maka hilanglah garam (hingga 8 karakter acak, dalam contoh kita garam adalah string "12345678"), maka hilanglah satu $ karakter lebih, diikuti oleh hash yang sebenarnya.
Algoritma: Sebenarnya yang loop memanggil algoritma MD5 2000 kali.


MD5 (APR)
Contoh: $ apr1 $ 12.345.678 $ auQSX8Mvzt.tdBi4y6Xgj.
Digunakan di Linux dan OS lain yang sejenis.
Panjang: 37 karakter.
Keterangan: Hash dimulai dengan $ apr1 $ signature, maka hilanglah garam (hingga 8 karakter acak, dalam contoh kita garam adalah string "12345678"), maka hilanglah satu lagi $ karakter, diikuti oleh hash yang sebenarnya .
Algoritma: Sebenarnya yang loop memanggil algoritma MD5 2000 kali.

MD5 (phpBB3)
Contoh: $ H $ 9123456785DAERgALpsri.D9z3ht120
Digunakan di phpBB 3.x.x.
Panjang: 34 karakter.
Keterangan: Hash dimulai dengan $ signature $ H, maka hilanglah satu karakter (paling sering jumlah '9'), maka hilanglah garam (8 karakter acak, dalam contoh kita garam adalah string "12345678"), diikuti oleh hash yang sebenarnya.
Algoritma: Sebenarnya yang loop memanggil algoritma MD5 2048 kali.

MD5 (Wordpress)
Contoh: $ P $ B123456780BhGFYSlUqGyE6ErKErL01
Digunakan di Wordpress.
Panjang: 34 karakter.
Keterangan: Hash dimulai dengan $ P $ signature, maka hilanglah satu karakter (paling sering jumlah 'B'), maka hilanglah garam (8 karakter acak, dalam contoh kita garam adalah string "12345678"), diikuti oleh hash yang sebenarnya.
Algoritma: Sebenarnya yang loop memanggil algoritma MD5 8192 kali.

MySQL
Contoh: 606717496665bcba
Digunakan dalam versi lama MySQL.
Panjang: 8 byte.
Keterangan: hash ini terdiri dari dua DWORDs, masing-masing tidak melebihi nilai 0x7fffffff.

MySQL5
Contoh: * E6CC90B878B948C35E92B003C792C46C58C4AF40
Digunakan dalam versi baru dari MySQL.
Panjang: 20 bytes.
Algoritma: SHA-1 (SHA-1 ($ pass))
Catatan: hash yang akan dimuat ke program tanpa tanda bintang yang berdiri di setiap awal hash.

RAdmin v2.x
Contoh: 5e32cceaafed5cc80866737dfb212d7f
Digunakan dalam aplikasi Remote Administrator v2.x.
Panjang: 16 bytes.
Algoritma: Sandi empuk dengan nol dengan panjang 100 byte, maka seluruh string hash dengan algoritma MD5.

MD5
Contoh: c4ca4238a0b923820dcc509a6f75849b
Digunakan di phpBB v2.x, Joomla versi dibawah 1.0.13 dan banyak forum lain dan CMS.
Panjang: 16 bytes.
Algoritma: Sama seperti fungsi md5 () di PHP.

md5 ($ lulus. $ salt)
Contoh: 6f04f0d75f6870858bae14ac0b6d9f73: 1234
Digunakan di WB News, Joomla versi 1.0.13 dan yang lebih tinggi.
Panjang: 16 bytes.

md5 ($ garam. $ pass)
Contoh: f190ce9ac8445d249747cab7be43f7d5: 12
Digunakan di osCommerce, AEF, Gallery dan CMS lainnya.
Panjang: 16 bytes.

md5 (md5 ($ pass))
Contoh: 28c8edde3d61a0411511d3b1866f0636
Digunakan di e107, DLE, AVE, Diferior, Koobi dan CMS lainnya.
Panjang: 16 bytes.

md5 (md5 ($ pass). $ salt)
Contoh: 6011527690eddca23580955c216b1fd2: wQ6
Digunakan di vBulletin, IceBB.
Panjang: 16 bytes.

md5 (md5 ($ garam) md5 ($ pass))
Contoh: 81f87275dd805aa018df8befe09fe9f8: wH6_S
Digunakan di IPB.
Panjang: 16 bytes.

md5 (md5 ($ garam). $ pass)
Contoh: 816a14db44578f516cbaef25bd8d8296: 1234
Digunakan di MyBB.
Panjang: 16 bytes.

md5 ($ garam. $ lulus. $ salt)
Contoh: a3bc9e11fddf4fef4deea11e33668eab: 1234
Digunakan di TBDev.
Panjang: 16 bytes.

md5 ($ salt.md5 ($ garam. $ pass))
Contoh: 1d715e52285e5a6b546e442792652c8a: 1234
Digunakan di DLP.
Panjang: 16 bytes.

SHA-1
Contoh: 356a192b7913b04c54574d18c28d46e6395428ab
Digunakan di banyak forum dan CMS.
Panjang: 20 bytes.
Algoritma: Sama seperti fungsi sha1 () di PHP.

sha1 (strtolower ($ username). $ pass)
Contoh: Admin: 6c7ca345f63f835cb353ff15bd6c5e052ec08e7a
Digunakan di SMF.
Panjang: 20 bytes.

sha1 ($ salt.sha1 ($ salt.sha1 ($ pass)))
Contoh: cd37bfbf68d198d11d39a67158c0c9cddf34573b: 1234
Digunakan di Woltlab BB.
Panjang: 20 bytes.

SHA-256 (Unix)
Contoh: $ 5 $ 12.345.678 $ jBWLgeYZbSvREnuBr5s3gp13vqi
Digunakan di Linux dan OS lain yang sejenis.
Panjang: 55 karakter.
Keterangan: Hash dimulai dengan $ 5 $ signature, maka hilanglah garam (hingga 8 karakter acak, dalam contoh kita garam adalah string "12345678"), maka hilanglah satu $ karakter lebih, diikuti oleh hash yang sebenarnya.
Algoritma: Sebenarnya yang loop memanggil algoritma SHA-256 5000 kali.

SHA-512 (Unix)
Contoh: $ 6 $ 12.345.678 $ U6Yv5E1lWn6mEESzKen42o6rbEm
Digunakan di Linux dan OS lain yang sejenis.
Panjang: 98 karakter.
Keterangan: Hash dimulai dengan $ 6 $ signature, maka hilanglah garam (hingga 8 karakter acak, dalam contoh kita garam adalah string "12345678"), maka hilanglah satu $ karakter lebih, diikuti oleh hash yang sebenarnya.
Algoritma: Sebenarnya yang loop memanggil algoritma SHA-512 5000 kali.

Base64
Contoh: Y3liZXJfY3JpbWluYWw=
Digunakan di : Beberapa Forums CMS
Panjang: 20 karakter.
Algoritma: Berfungsi untuk encoding dan decoding suatu data ke dalam format ASCII. panjang maksimal 64 karakter hashnya terdiri dari A..Z, a..z dan 0..9, serta ditambah dengan dua karakter terakhir yang bersimbol yaitu + dan / serta satu buah karakter sama dengan �=�

Tempat untuk Crach Hash Password :
http://hashkiller.co.uk/
http://md5online.com/
http://base64decode.net/ (Base64)
crackstation.net
Sekian dari w Mohon Maaf jika ada salah kata :) yaa,.,,,,
Join Grub kami untuk belajar bersama sama :) : Family Attack Cyber

Penerapan Content Security Policy Agar Server Lebih Aman

 
Content Security Policy atau CSP adalah pengaturan tambahan yang diterapkan melalui respon HTTP Headers. kegunaan dari CSP sendiri adalah untuk mencegah eksploitasi XSS maupun serangan dengan kode injeksi lainnya pada server. Dengan Content Security Policy kita bisa megatur sumber mana saja yang diijinkan untuk diload di server kita sehingga jika attacker mencoba menyisipkan kode exploit dari sumber yang tidak dipercaya makan browser akan memblokir.
Read More

Audit Keamanan Web Application dengan Operative Framework

 
Hmm.. sepertinya lumayan lama saya tidak membahas mengenai keamanan web apps. Kali ini saya bakal share tools yang cukup menarik , Operative Framework. Alat ini bisa digunakan untuk melakukan information gathering. Cara kerja tool ini adalah dengan Viadeo search, Linkedin search, Reverse email whois, Reverse ip whois, SQL file forensics dan lainnya.
Read More
Subscribe to Newsletter

Popular Posts

© Copyright 2017 Codes Xploit. Designed by Infinite Haxor. Distributed by Infinite Haxor.