Buffer Overflow Exploitation for Owning (Beginner)

shellcodeMempelajari dan mengerti tentang Buffer Overflow memang bikin kepala bisa pitakan karena kita harus memahamai bahasa pemrograman c, assembly dan luar dalam sistem operasi (jangan luar dalam tangtop aje loe pahamin 🙂 ), apalagi buat orang-orang yang suka deface web pake union select atau pake include-include -an bisa-bisa stress gantung diri ( woi ngaca loe kaya gak kaya gitu aje loe ).. hahaha,,.Read More »

Tutorial Teknik Exploitasi Web Application dengan Blind SQL Injection

Posting sebelumnya tentang Normal SQL Injection yaitu teknik megeksploitasi aplikasi web yang memanfaatkan error message yang dihasilkan oleh sql server dikarenakan kesalahan sintaks dalam melakukan query, tapi beberapa developer web mematikan pesan error kepada pengunjung ketika terjadi kesalahan sintaks untuk meminimalisir para attacker yang ingin mengeksploitasi web-nya, hal semacam ini bisa kita atasi dengan melakukan Blind SQL Injection. Blind SQL Injection tidak bergantung pada pesan error yang dihasilkan, tapi dengan memanfaatkan kondisi “True” atau “False”.Read More »

Local File Inclusion Vulnerability

Local File Inclusion Vulnerability adalah sebuah kelemahan aplikasi web yang menyebabkan seorang Attacker mdapat mengeksploitasi engine yang digunakan atau Web Server dengan mengakses direktori dan mengeksekusi command di luar root web server. Local File Inclusion Vulnerability erat kaitannya dengan Directory Traversal. Local File Inclusion Vulnerability dilakukan secara lokal dari web server tersebut, sedangkan Remote File Inclusion Vulnerability dilakukan secara remote dengan melakukan menyisipkan script php dari luar kedalam situs atau aplikasi web.Read More »

Mendapatkan Password root dengan Jebakan

Pernahkan anda merasa jengkel saat anda melakukan sesuatu di mesin Linux dengan account user biasa semua serba terbatasi. atau jika anda sudah mendapatkan file passwd dan shadow untuk di crack dengan John the Ripper dengan brute forcenya, tetapi anda malas untuk menunggu proses cracking selesai, (bisa botak tumbuh paku gw nungguinnya :( )

kali ini sang admin akan kita bohongi, perintah dalam linux untuk login menjadi super user atau menjadi admin yaitu dengan mengetikkan perintah “su” lalu dilanjutkan dengan mengetikan password, nah kita akan memasang program jebakan, jadi, ketika sang admin mengetikkan perintah “su” otomatis program akan menjalankan program “su” yang kita alias ke program yang kita tentukan letakkan dengan perintah “alias” menggunakan perintah “alias”, lebih lanjut silahkan baca manualnya

uname@slacker:~$ man alias

di bawah ini adalah source code dari program “.su” yang mengecoh admin dibuat oleh salah seorang staf kecoak-elektronik Indonesia, Pseudoanonymous.Read More »

Simple Denial of Services Attack

Denial of Services adalah salah satu serangan para Attacker untuk melumpuhkan target, atau cara terakhir, kalau si attacker sudah tidak punya akal lagi untuk menembus target yang ingin di kuasainya.

DOS adalah penyerangan dengan metode pengiriman paket-paket (flooding) secara simultan dengan satu atau lebih komputer atau komputer zombie untuk dikirimkan ke satu target, di bawah ini adalah beberapa dari aktifitas DOS ;

1. Aktifitas ‘flooding’ terhadap suatu server.

2. Memutuskan koneksi antara 2 mesin.

3. Mencegah korban untuk dapat menggunakan layanan.

4. Merusak sistem agar korban tidak dapat menggunakan layanan.

Aktifitas DOS biasanya menyerang untuk menghabiskan bandwith sasaran, Swap Space, RAM, Disk, cache, atau INETD. Sekarang kita membahas salah satu kelemahan Apache Web Server yang bisa kita eksploitasi untuk kelemahan Denial of services adalah jumlah kapasitas koneksi. terdapat pada konfigurasi httpd yaitu MaxClients 150, yang berarti hanyak koneksi yang diperbolehkan mengakses Apache dibatasi sebanyak 150 clients Jumlah ini sedikit banyak dapat berkurang mengingat browser lebih dari 1 request simultan dengan koneksi terpisah-pisah.Read More »