Sunday, May 24, 2020

Selamat Hari Raya Idul Fitri 1441 H


Yow Halo Teman². sudah sebulan kita melaksanakan ibadah puasa, dan sekarang tiba saatnya idul fitri semoga dapet thr banyak yaa wkwk. btw sorry postnya malem² karena tdi pagi habis solat id langsung pulang ke rumah keluarga wkwk you know lah di kampung gak ada sinyal :D.

Saya Pribadi Bayu Santoso, meminta maaf lahir dan batin, minal aidin wal faaidzin :D. jika ada artikel atau kata² saya yang menggores hati kalian mohon di maafkan dan diobati :D, ya namanya manusia gak pernah luput dari kesalahan :D.

Walaupun mungkin kita gak saling mengenal satu sama lain, saya harap kita bisa saling memaafkan. buat kalian para defacer harus minta maaf tuh ke admin web yg pernah kalian usili webnya :b. saya sndiri sudah gak ngelakuin defaceing lagi.

ya gimana gitu mikirnya, kasian admin web yg di usili, apalagi sampe web pemerintahan, devnya rela kerja lembur demi nafkahi anak istri, sfx "tp deface itu hobi gw bang, gw bisa beli apa2 dri hasil deface gw, biar ga nyusahin ortu lagi". gini gan dunia ini fana, hidup itu gak abadi, dan harta gak akan di bawa mati. jangan hanya mengejar kesuksesan dunia, sampai kewajiban di akhirat di lupakan, sfx "kita sama sama pendosa bro, gausah sok suci". wkwk ini adalah jawaban yg paling sering saya denger ketika nasehatin orang, memang bro kita sama-sama pendosa, bedanya dosa anda lbih numpuk di bandingkan saya :b, saya menasehati anda utk mengajak anda ke jalan yang lurus, agar tidak terpeleset dan jatuh ke neraka.

Ok Itu aja sih curhatan saya di hari raya ini
jangan lupa senyum :D

Saturday, May 23, 2020

Deface Metode Default U/P Cms Mtech

Yow Halo Exploiter, kali ini saya akan membagikan tutorial deface lagi, metode/poc Default User dan Password CMS Mtech Websolution, btw besok sudah hari raya idul fitri, jadi saya minta maaf kalo ada kesalahan :D, ok langsung aja.

#Google Dork : "All Rights Reserved by MTech"
#User&Pass : admin
#Login Page : /Account/Login
#Live Target : http://chhapicity.com/Account/Login

Langkah-Langkah

1. kalian dorking dulu, atau gunakan live target yg saya sediakan

2. setelah itu pergi ke login pagenya, lalu login dengan user dan password admin

Deface Metode Default U/P Cms Mtech

3. vuln ? akan masuk ke dashboard :D

Deface Metode Default U/P Cms Mtech

4. berhubung gakbisa upload shell hanya bisa upload file .jpg .png .jpeg .bmp kalo kalian mau nyelipin backdoor di jpg juga bisa :D, tapi disini saya akan ke menu kategori dan edit-edit :D


Deface Metode Default U/P Cms Mtech

ok segitu saja yg bisa saya sampaikan
semoga artikel ini bermanfaat bagi kalian :D

Referensi : https://cxsecurity.com/issue/WLB-2020050178

Friday, May 22, 2020

XSS In Limited Input Formats ( Contoh Email )

Pengujian untuk kerentanan XSS membutuhkan mengetahui format data input. Biasanya formatnya hanya "string" tanpa batasan tetapi terkadang manipulasi titik masuk XSS terbatas. 

Dalam sebagian besar waktu, ini mungkin mengarah pada asumsi filter keamanan, yang dirancang / digunakan secara khusus untuk menghindari serangan yang tidak benar. Jadi kita akan melihat beberapa format itu dan bagaimana menghadapinya untuk mencapai XSS PoC klasik. 
https://brutelogic.com.br/tests/input-formats.php
mendemonstrasikan bagaimana kita dapat dengan mudah mengadaptasi vektor XSS kita untuk itu, periksa tes ini.

Setiap input yang berbeda dari format email klasik akan ditolak oleh aplikasi yang mengembalikan respons "INVALID":


Tidak ada sanitasi yang sebenarnya tetapi hanya VALIDATION yang dilakukan oleh FILTER_VALIDATE_EMAIL flag fungsi PHP filter_var (atau filter_input). Tampaknya itu hanya masalah menambahkan "@ x.y" (tanpa tanda kutip) padanya untuk lulus validasi tetapi tidak.

XSS In Limited Input Formats ( Contoh Email )

Solusi untuk melewati mekanisme validasi dan mencapai XSS bergantung pada alamat email yang sederhana dan valid menurut RFC822.

XSS In Limited Input Formats ( Contoh Email )

Ok Sekian Dari Saya, semoga artikel ini bermanfaat bagi kalian

Referensi : BruteLogic

Youtube :


Deface Exploit Wp Json Slider Upload File

Yow Halo Exploiter, kali ini saya akan membagikan tutorial deface metode Wordpress Json Slider Upload File Vulnerability, caranya simpel, ok langsung saja ke intinya.

#Google Dork : inurl:/wp-content/jssor-slider/jssor-uploads/
#Exploit : /wp-admin/admin-ajax.php?param=upload_slide&action=upload_library
# CSRF : Klik Ini
#Live Target : http://maxduhanov.ru

Langkah-Langkah

1. dorking terlebih dahulu, atau gunakan live target di atas

2. setelah itu masukkan exploit di akhir domain target.com/[EXPLOIT], contoh : http://maxduhanov.ru/wp-admin/admin-ajax.php?param=upload_slide&action=upload_library

3. jika seperti ini berarti vuln


Deface Exploit Wp Json Slider Upload File
4. setelah itu kalian copy csrf yg ada di atas, lalu save dengan extensi .html jangan lupa untuk menaruh target kalian beserta exploit di bagian action=""
contoh :

Deface Exploit Wp Json Slider Upload File

5 jika sudah, buka csrf kalian di browser dan upload script deface kalian.

Deface Exploit Wp Json Slider Upload File
6. jika muncul tanda seperti awal ( liat nomor 2 ), berarti sukses ter upload, lalu akses hasil deface kalian : http://target.com/wp-content/jssor-slider/jssor-uploads/ScDefaceKamu.html
Contoh : http://maxduhanov.ru/wp-content/jssor-slider/jssor-uploads/0wn.htm

7. dan boom !!

Deface Exploit Wp Json Slider Upload File

Ok itu saja yg bisa saya sampaikan, jangan lupa juga untuk melihat tutorial deface lainnya
semoga bermanfaat dan jangan lupa untuk share artikel ini :D

Tuesday, May 19, 2020

HTML Live Coding Script

Yow Halo Exploiter, kali ini saya akan membagikan script live coding, sebenarnya udah rencanain lama buat artikel ini karena banyak dari kalian yg mau minta script live coding di : https://tools.xploitsecid.or.id karena cuma live coding ya saya kasih aja :b
kali aja kalian punya web tools ya lumayan buat nambahin tools di website kalian, dan kalo kalian minta tools lainnya dri web https://tools.xploitsecid.or.id mohon maaf gabisa saya kasih karena saya privasikan toolsnya.

Tampilan :
Link Download ( Pastebin ) : KLIK INI 
Link Download ( Mediafire ) : Live-coding.php
ok itu saja yg bisa saya sampaikan, jangan lupa bantu share artikelnya yaa :D

Friday, May 15, 2020

Web Mirror Defacement Terbaru Zone-Xsec

Halo selamat siang, pada artikel ini saya tidak akan membahas tutorial, tools, dan lainnya. saya akan memperkenalkan saja kepada kalian kalo sekarang ada web mirror baru, yaitu Zone-Xsec
web mirror ini berasal dari tim XploitSec ID ( Xsec ) yang di buat oleh Zeerx7 ( Pausi ).

tampilan web mirrornya beda dari web mirror yg 2020 ( sekarang ), saya sudah telusuri sendiri banyak banget tim-tim underground yang buat web mirror dan anehnya itu database dan tampilannya itu mirip dan persis bangett !! walaupun beda warna tp masih persis.. disini saya gak akan nyebut ya web mirrornya siapa, karena saya gak akan nurunin reputasi orang, apa source codenya kayak slogan SCTV kali ya ( satu untuk semua :b ).

saya telusuri sudah ada 5 web mirror yg database dan tampilannya sama, saya sndiri dulu sudah berencana ada project buat web mirror dan online shop Xsec bareng temen. tapi projectnya ngestuck karena saling lost contact. nah si Zeerx7 juga lagi buat web mirror defacement, ya saya biarin aja, buat ganti project web mirror saya.. kalau si Pausi ada untuk apa lagi saya buat web mirror lagi.. tampilan web mirrornya buatan Pausi Juga lebih keren daripada buatan saya, karena saya sendiri gabisa ngoding yakan :'b.

Preview Zone-Xsec :

Notify Page :

Visit Us :
https://xploitsecid.or.id ( XploitSec Official Website )
https://zone-xsec.com ( Zone-Xsec - Global Cyber Vandalism )
https://tools.xploitsecid.or.id ( XploitSec Online Tools )

Wednesday, May 13, 2020

Cara Menggunakan Tools Zombi Bot V13


Yow halo Exploiter, kali ini saya akan membagikan tutorial menggunkanan zombi bot v13, sedikit penjelasan, zombi bot adalah tools yg dibuat untuk para kucing, eh maksudnya depeser agar ngeheknya makin gampang. sumpah demi apapun saya males buat artikel ini krena saya sendiri benci yang namanya bot, tapi tiap hari di dm instagram banyak yang pada nanyain cara make zombi bot v13, sebelumnya saya udah upload cara menggunakannya di Channel YT LinuXploit tapi videonya dihapus karena di report ama sider anjing ( mungkin karena waktu itu saya nyindir tukang bot di videonya :b ). udah lah tanpa basa basi langsung saja.

Langkah-Langkah

sebelumnya kalian harus install cmder ( bisa juga menggunakan cmd ) dan python2.7 disini saya gak akan menunjukkan kalian cara menginstallnya karena artikel ini hanya menjelaskan cara menggunakan zombi bot v13 saja :b.

1. buka cmder dan masukkan command

cd/
cd python27
python -m pip install colorama
python -m pip install requests
setelah itu kalian download zombi bot v13 nya disini : ZV13.zip
setelah di download pindahkan ZV13.zip ke Local Disk C pada windows kalian, lalu extract filenya.
setelah itu kalian buka cmder atau cmd dan masukkan command

cd/
cd ZV13
ZV13.py
disitu kalian bisa liat ada nomor
contoh : disini saya akan menggunakan tools nomot [1] Zombi Bot V13 Private Scanner
sebelumnya saya akan buka folder Tools > Tool 1 ( saya buka Tool 1 karena saya akan menggunakan tool yang nomor 1 ). selanjutnya copy list website kalian ke folder tersebut dan jalankan ( ketik 1 pada cmd kemudian ketik list web kalian, contoh : list.txt )

ok itu saja yg bisa saya sampaikan, jika masih kurang paham silahkan dm Instagran saya @youez_

NB : klo masih main ngebot gausah sok kerad koar sana sini