hmm..kayanya udah lama ni ga ngisi blog bodoh saya ini dengan yang berbau2 underground :D, ya udah mumpung ada waktu dan ada sedikit pengetahuan tentang ini saya coba tuliskan beberapa, antara lain : Remote File Disclosure dan Teknik Jumping.
Oke, pertama...RFD (Remote File Disclosure), apa itu? kalo mau tau lebih jauh tinggal search aja di kang wikipedia ato di mbah google aja, kalo dari saya sendiri, RFD adalah teknik hacking yang tergolong mudah dibanding dgn teknik lain kaya SQLi, XSS, RFI atopun LFI, ga terlalu rumit cuman website yang memiliki bugs RFD ini memang ga sebanyak website ber-bugs-kan SQLi atopun yang lainnya! :P
Bugs RFD memungkinkan kita sebagai orang ga diundang :D, untuk dapat mengakses ato dalam kasus ini mendownload file .php sebuah website! hmm...apa bahayanya? gini deh...apa akibatnya jika file berisi kan database sebuah website yang tersimpan dalam sebuah file .php dalam terdownload dengan mudahnya? orang lain dengan mudahnya mendapat seluruh data yang diperlukan untuk masuk website itu bukan? itu bahayanya! inti dari bugs ini adalah kesalahan pengkodingan .php!
dan saya pun iseng nyari bugs ini di google dengan menggunakan d0rk :
"inurl:"download.php?fname="
ni beberapa web yang saya temukan ber-bugs RFD :
http://virtualitera.freeweb7.com/site/download.php?fname=./index.php
http://www.minervaelectronics.co.uk/download.php?fname=conn/config.php
http://web.mmc.edu.cn/huagong/job/zlxz/download.php?fname=./index.php
http://cutebase.cn/down/download.php?fname=./index.php
tadinya juga nemu 2 website dalam negeri, tapi berhubung kita lagi perang ma malayshit tu web indonesia ga saya publish disini, takut aja da orang malayshit baca blog saya ini :)
untuk pencarian database dari list RFD diatas tinggal dieksplor aja sedikit, cari file include-nya yang kiranya menghubungkan kita ke databasenya! :D
Oke, next....
Teknik Jumping!
denger teknik ini saya jadi inget ma forum cyberdos yang dulu2 sempet dihack ma om gblack! :D
ga tau ya, kayanya si tu caranya pake jumping...tapi gtw juga deng, Back to topic! :P
Jumping ato melompat! :D adalah teknik attacking untuk memasuki server korban. Biasanya attacker menggunakan teknik ini pada 1 web server yang satu jaringan ato apalah itu, ya pokoknya yang dishared bareng (bingung bikin kata2nya) :P . Dengan demikian, kita tidak hanya dapat 1 korban, tetapi semua website korban lain kena imbasnya karena biasanya dalam 1 webserver itu terdapat puluhan website orang lain! jadi ga aneh kalo bisa terjadi mass deface terhadap website yang masih satu negara! :D
secara teori (alah) dalam teknik jumping, attacker menggunakan reverse IP domain checker..fungsinya? untuk mengetahui website mana saja yang satu server ato satu hostingan dengan target yang udah didapat sebelumnya! setelah dapet list website-nya, cari deh vuln-nya, kalo beruntung dapet admin access-nya, jgn lupa tanem backdoor! explore web servernya...bahkan dengan ngulik2 yang luar biasa (alah) kita bahkan dapat menguasai webservernya! weks...saya blom ngerti soal yang ini karena saya cuma tau teoritisnya aja! :D
sekian beberapa ocehan bodoh dari seekor newbie kaya saya ini, moga berguna dan dapet menambah pengetahuan anda tentang dunia underground! :D
Smell u later!
0 komentar:
Posting Komentar