Hacking

Cara Mudah Mendapatkan Akun Gmail Dengan Google Dork

February 1, 2013 by Jack Wilder 36 Comments

Google Dork memang senjata utama saat akan memulai aksi hacking. Dan itu pula yang digunakan untuk memulai SQL Injection ataupun mencari target lain yang vuln. Kali ini saya akan share cara mudah mendapatkan akun gmail dengan google dork.
Langsung saja :
GOOGLE DORK :
“username”+”password”+”@gmail.com”filetype:doc

Masuk kan dorknya ke pencarian google. Maka sobat akan menemukan banyak file berbentuk dokumen [doc]. Download salah satunya. Buka dengan ms.word atau terserah situ make apa, cari password dan emailnya. Selesai !!!!

NB : dork bisa dikreasikan sendiri. @gmail bisa diubah menjadi @yahoo.com atau yang lainnya. Cara ini harus dibarengi dengan kesabaran mencari target dan keahlian mengolah google dork. Gunakan logika.

Cara Deface dengan Kindeditor

January 19, 2013 by Jack Wilder 35 Comments

Ada banyak cara untuk deface. Dan Kindeditor termasuk cara yang paling mudah. Berikut cara Deface Web dengan Kindeditor. Cara ini biasa digunakan untuk para newbie yang ingin belajar deface.

1. Langsung saja, google dork : inurl:examples/uploadbutton.html

2. Pilih salah satu situs. Sebgai contoh saya pilih http://staic.qefeng.com/Kindeditor/examples/uploadbutton.html

3. Lalu upload file deface kalian. Bisa txt bisa html.

4. Lalu lihat alamat yang tertera di samping tombol upload. Contoh :http://staic.qefeng.com//Kindeditor/attached/file/20130114/2013011405304341725.txt

Mudah kan ???

Daftar Situs Webdav Vuln Terbaru 2013

January 17, 2013 by Jack Wilder 38 Comments

Daftar Website Vuln WebDav Terbaru Januari 2013
Iseng-iseng nggak ada kerjaan buka lagi tool lama buat deface. Pasti tau kan Tool WebDav buatan kakak Hmei7. Banyak situs yang share 1000 situs vuln Webdav namun kenyataannya situs tersebut sudah tidak bisa diinjek karena sudah di-patch. Nah, karena keisengan tadi, lagsung saja saya cari pakai google dork situs-situs yang masih perawan alias masih vuln sama webdav di awal tahun 2013 ini.

Berikut daftar situs yang masih Vuln WebDav Januari 2013 :

http://dike.dpt.go.th
http://www.shbhgy.com
http://www.vintagefaucet.net/
http://www.blusign.it/
http://www.indal2000.it/
http://www.kozi.com.tw/
http://vendors.csgroupny.com/
http://www.druckpunkt.at/
http://lidu.homesoft.com.cn/
http://www.mazda-gh.tw/
http://www.wiltrom.com.tw/
http://www.dialect.tw/
http://caiwu.hkjulong.com/
http://sportgame.shenzhenfdi.cn/
http://www.szfdi.cn/
http://www.designmonic.se/
http://www.fulaigongwq.com/
http://www.xgzssh.com/
http://oa.cumtec.com/
http://taihelive.com/
http://zhuanqian28.com/
http://ftxx.hyedu.net.cn/
http://www.chitoo.cn/
http://www.zhenhbjzz.cn/
http://www.luoxuanguan.net.cn
http://fe.sziit.edu.cn/
http://www.chfdc.gov.cn/
http://jsj.ahiec.net/
http://tmkzxh.com/
http://lib.nttec.edu.cn/
http://marcatoarredamenti.it/
http://www.adhesive-tapes.it/
http://www.hotelnewtiffanyspark.com/
http://www.giocattoliemodellismo.it
http://www.agnolettoautotrasporti.it/
http://www.gammapoliuretani.it/
http://www.zzhsjxc.com/
http://www.zzhsjxc.com/
http://bh-parts.com/
http://www.vintagefaucet.net/

Sekian postingan dari saya. Semoga bermanfaat bagi WebDavlovers….. Hehehe

Situs Vuln webdav terbaru 2013, Situs yang bisa diserang dengan webdav

Cara Mudah Deface Situs sch.id | Tutorial for Newbie

January 15, 2013 by Jack Wilder 37 Comments

Cara Mudah Deface Situs sch.id. Sebenarnya ini cara yang lumayan lama. Namun karena mentok nggak ada bahan postingan, iseng-iseng tadi nambah list deface di indonesiandefacer.org pake cara ini. Mau pake SQLi, males. Kadang discan pake Havij udah nemu password sama usernya malah halaman buat loginnya gak ketemu.
Yaudah, pake cara ini saja. cara ini bisa dibilang cara yang paling mudah karena kita tidak perlu masuk lewat pintu depan/admin. Dan sekalian mau share di blog.

Alat
Google dork :
inurl:/html/siswa.php?
inurl:/html/alumni.php?
inurl:/html/guru.php?

File dengan format txt :
Terserah mau diisi apa. Boleh diisi puisi, misuh-misuh (jangan ding !), atau nomer hape (ini sih orang lebay) . pokoknya terserah deh !!!

langkah-langkah :
1. Masukkan dork diatas di kotak pencarian google.
2. Pilih salah satu situs yang muncul. disini saya ambil contoh : http://www.sman1gombong.sch.id/html/alumni.php
3. Ganti urlnya menjadi editor http://www.sman1gombong.sch.id/filemanager/connectors/test.html
4. Pada opsi connector, pilih PHP. lalu upload file txt milik kamu.
5. Untuk membuka hasilnya, exploitnya adalah http://site.sch.id/userfiles/file/namafile.txt . Jadi untuk contoh saya menjadi http://www.sman1gombong.sch.id/userfiles/file/Wonderk-ID.txt

Selesai !!
Mudah kan ???

Sekian tutorial kali ini. Semoga bermanfaat.

The Art of Social Engineering

November 5, 2012 by Jack Wilder 37 Comments

Nggak ada bahan posting, dan kebetulan tadi jalan-jalan ke HN ada yang bahas soceng, akhirnya saya jadi punya ide untuk membahas apa itu soceng. Menurut Wikipedia, Social engineering adalah pemerolehan informasi atau maklumat rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Pada dasarnya manusia cenderung mudah percaya dan menghindari konflik. Social Engineering memanfaatkan dua kelemahan tersebut.

Soceng biasanya dilakukan melalui telepon atau Internet. Soceng merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, entah itu menayakan langsung ataupun melalui pihak lain.

Soceng mengkonsentrasikan diri pada user (manusia). Seperti kita tahu, tidak ada sistem komputer yang tidak melibatkan interaksi manusia. Dan parahnya lagi, celah keamanan ini bersifat universal, tidak tergantung platform, sistem operasi, protokol, software ataupun hardware. Artinya, setiap sistem mempunyai kelemahan yang sama pada faktor manusia. Setiap orang yang mempunyai akses kedalam sistem secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang telah disusun.Soceng sendiri mmemerlukan persiapan yang agak lama sebelum penyerang mengeksekusi korbannya.

Pada banyak referensi, manusia dinilai sebagai faktor paling lemah dalam jaringan komputer. Kita ambil contoh, untuk apa komputer canggih dengan sistem keamanan yang baik jika yang jadi administrator adalah orang yang samasekali tidak tahu tentang security ?. Selain itu, pada sebuah jaingan yang cukup kompleks biasanya terdapat banyak user yang meremehkan masalah keamanan . misalnya, suatu perusahaan memiliki sistem keamanan yang cukup baik. Namun bagaimana jika ada user yang memiliki akun dengan password “nama perusahaan” tersebut ? Itu mudah ditebak ! Sekali tebak maka Acces Granted ! Atau saking buru-burunya, user lupa log-out ketika pulang kerja.

Kalau sudah seperti itu, penyerang dengan mudah mengetahui siapa saja orang yang ceroboh pada perusahaan tersebut. Dan bisa saja penyerang menanyakan apa saja yang dibutuhkan/diinginkan kepada user yang ceroboh tersebut. Tindakan ini bisebut sebagai : Social Engineering (SOCENG)

Metode pertama adalah metode yang paling dasar dalam soceng, yaitu penyerang mencoba untuk meminta secara langsung dan terang-terangan apa yang diinginkan dari korban.

Cara kedua adalah dengan menciptakan situasi palsu dimana korban masuk dalam situasi tersebut. Dalam hal ini penyerang memerlukan informasi lebih lanjut dan biasanya juga harus mengumpulkan informasi tambahan tentang ‘target’. Kita tidak harus berbohong untuk menciptakan situasi tesebut, kadangkala fakta-fakta lebih bisa diterima oleh target.

Example : Seorang berpura-pura sebagai agen tiket yang menelepon salah satu pegawai perusahaan untuk konfirmasi bahwa tiket liburannya telah dipesan dan siap dikirim (tentu saja ini hanya jebakan betmen). Pemesanan dilakukan dengan nama serta posisi target di perusahaan itu, dan perlu mencocokkan data dengan target. Tentu saja target tidak merasa memesan tiket, dan penyerang tetap perlu mencocokkan nama, serta nomor pegawainya. Informasi ini bisa digunakan sebagai informasi awal untuk masuk ke sistem di perusahaan tersebut dengan account target.Jadi intinya pelaku tadi menelpon hanya untuk mencocokkan data yang dia miliki dengan data yang dimiliki korban. Dalam hal ini tentu korban tidak akan curiga !

Cara yang paling populer adalah metode phising, yaitu dengan mengirim email ke korban dan didalam emailnya terdapat link, trojan maupun worm yang berfungsi mencuri data dari komputer korban. Tentu saja jika korban mau meng-klik link yang terdapat pada email tersebut. Maka disinilah keahlian pengirim email dibituhkan : membuat korban mengeklik link tanpa curiga sedikitpun

Cara-cara tersebut biasanya melibatkan faktor personal dari target: kurangnya tanggung jawab, ingin dipuji dan kewajiban moral. Kadang target merasa bahwa tindakannya memberikan informasi tidak akan menimbulkan efek buruk. Atau target merasa bahwa dengan memenuhi keinginan penyerang akan membuat dia dipuji. Atau dia merasa bahwa dengan melakukan sesuatu akan membantu pihak lain dan itu memang sudah kewajibannya untuk membantu orang lain. Jadi kita tidak harus memaksa korban untuk memberikan informasi, karena korban akan memberikannya dengan sukarela. Selanjutnya, kita tinggal menuntun taeget menuruti apa yang kita mau, dan korban tidak merasa bahwa dia sedang dimanfaatkan. Target merasa bahwa dia membuat keputusan yang baik untuk membantu kita dan mengorbankan sedikit waktu dan tenaganya.

Riset psikologi juga menunjukkan bahwa seorang akan lebih mudah memenuhi keinginan jika sebelumnya sudah pernah berurusan, sebelum permintaan inti cobalah untuk meminta target melakukan hal-hal kecil terlebih dahulu.

Sekian postingan dari saya, terimakasih .

Apa itu soceng ?
Pengertian Soceng
Social engineering itu apa ?