• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar

LinuxSec Exploit

Nothing is Ever Locked

  • XSS Payloads
  • About Us

Hack Targeted Website using Reverse IP

May 8, 2016 by Jack Wilder 11 Comments

Kemarin ada yang pm di fanspage gimana sih caranya bobol situs yang sudah kita targetkan. Jadi gak lagi random site pake exploit atau dork. Sebenarnya ada banyak cara . Dan yang akan kita bahas kali ini adalah cara paling umum,  yaitu memanfaatkan SE Bing untuk melakukan reverse ip.

Alat :

  • Otak ( kalo otak masih di dengkul skip aja, males nanggepin pertanyaan gak penting )
  • SE Bing ( bing.com )
  • Dasar dasar exploit.
Oke ane anggep semua nya sudah tau dasar dasar exploit.
Dan sebagai bahan tutorial, kali ini ane bakal nyoba masuk ke situs nya mz Niam ( asrorunniamsholeh.com ) , fufufu -_^ .
Pertama, kita cari dulu informasi server dari web yang kita target. Bisa pake yougetsignal, atau ping dari cmd juga bisa.
Disini ane coba pake command :
dig asrorunniamsholeh.com
Nah dari output terminal kita bisa tau kalo web nya pak Niam ini ngekost di server 45.64.1.80 .
Yep, sekarang kita lari ke bing.com .
Lalu masukkan keyword :
  • ip:45.64.1.80 “php?*=”
“php?*=” ini apa ? Itu keyword untuk mencari situs yang rentan terhadap SQL injection. Nah tentu saja disini kalian harus tau dulu dasar dasar sql inject itu gimana.
Keyword php?id= sendiri bisa kalian modif sesuai keinginan kalian, dan tergantung bug apa yang akan kalian cari. Misal kalian mencari bug LFI ya gak pake php?id lah tentu nya.
Ada banyak site yang harus kalian coba. Jadi harus sabar.
Skip.. skip.. skip. Saya gak bakal nasig tutorial gimana cara ngeksploitasi web nya. Singkat cerita disini ane berhasil nginject situs yang memiliki bug SQLi, dan nanem shell disana.
Gak akan ane share cara nginject nya gimana, situs mana yg nge bug tersebut, soalnya semua dasar tutor sudah ane tulis di web ini, tinggal kalian mau baca apa engga.
Ternyata server masterweb.
Di server ini lumayan ribet soalnya beda dengan server lain yang user web nya pake nama domain, disini username nya random. Harus muter otak lagi buat ngedapetin user dari web yang kita incer.
Singkat nya, setelah muter muter information gathering, ane dapet user web tersebut .
k7753975:x:640:640::/home/k7753975:/usr/local/cpanel/bin/noshell
Sekarang tinggal get config aja dari info tadi.
Untuk tutor grab config bisa cek disini :
  • Bypass Config Rumahweb
Nah , ane udh dapet tuh config database web nya.
Tinggal login database. DI shell yg ane pake ada fitur login db nya.
karena ane udah pegang db nya, ya terserah mau diapain. Mau di drop kalo tega juga bisa :v .
Disini cuma ane reset pass wp nya biar ane bisa login ke situs .
UPDATE wp_users SET user_pass=md5(‘uzumaki’)
Tinggal login deh.
Dorr
Dah sampai disini aja tutorial nya.
Untuk Upload Shell di WordPress baca disini :
Uploading WebShell on WordPress Site

Tutor LFI

Uploading Backdoor Shell via Local File Inclusion (LFI) Exploit

Turorial SQLi

Tutorial SQLi
Kalau server nya gagal di jumping gimana, coba di root barangkali bisa :
Tutorial Back Connect and Server Rooting
Untuk shell yang biasa ane pake bisa download disini :
Download Jumping WebShell
Oke sekian dulu tutorial kali ini, semoga bermanfaat. Do with your own risk.

Filed Under: Web Hacking Tagged With: Exploit, Hacking

Reader Interactions

Comments

  1. Muhammad zaki azhari says

    May 8, 2016 at 8:16 am

    mantap mastah.. maksih buat tutornya… di update trus gan 🙂

    Reply
  2. Malik Al Qorni says

    May 8, 2016 at 9:36 am

    jejak

    Reply
  3. REGAL lampung gamers POST says

    May 8, 2016 at 10:20 am

    jejak (2)

    Reply
  4. Andi Hadiba I.F. says

    June 28, 2016 at 2:04 am

    tutornya lengkap dan mudah dipahami
    tq min :))

    Reply
  5. Buggy Channel says

    July 9, 2016 at 6:21 pm

    hore

    Reply
  6. Ginggo binggo says

    July 22, 2016 at 7:23 am

    Keren gan *_*, jadi pengen coba. Btw ada gak yg pake andro?

    Reply
    • chiaki says

      December 9, 2016 at 9:41 am

      sama aja om step2nya mau pake win apa linux apa andro juga haha

      Reply
  7. Unknown says

    March 3, 2017 at 5:47 pm

    mau nanya dong gan..
    misalnya kita pernah dapet nih confignya
    nah terus acces kita udah di hapus sama admin nya
    dengan cara apa kita bisa masuk lagi..
    di karenakan web tersebut single IP

    Reply
    • chiaki says

      March 4, 2017 at 4:16 am

      bug nya udh ditutup?

      Reply
  8. GORDON says

    August 13, 2018 at 6:59 pm

    ANE CARI JASA HACKER DATABASE WEBSITE GAN, YG NYANGGUPIN BISA EMAIL ANE. BAYARANNYA MAHAL !

    Reply
    • MR_1D10T5 says

      September 21, 2018 at 2:21 pm

      chat [email protected]

      Reply

Leave a Reply Cancel reply

Your email address will not be published. Required fields are marked *

Primary Sidebar

Popular Post

Deface dengan Metode Timthumb Remote Code Execution

Arti dari Kata Deface yang Sering Dibahas oleh para Hacker

Exploit WordPress N-Media Website Contact Form with File Upload 1.3.4 Shell Upload Vulnerability

Zendesk Custom Domain or Subdomain Takeover

Deteksi Kerentanan Execution After Redirect (EAR)

Exploit WordPress Ajax Load More PHP Upload Vulnerability

WordPress Army Knife CSRF File Upload Vulnerability

Cara Mendapatkan RDP Gratis Dengan Shell Windows

Bruteforce FTP Login dengan Metasploit Module FTP Authentication Scanner

WordPress Plugin CopySafe PDF Protection Shell Upload

LinuxSec / 13 queries in 0.16 seconds