Tutorial Symlink dengan Command Linux

Okee, berhubung banyak yang request tentang tools "symlink" dengan shell indoxploit. Kebetulan belakangan ini gua lagi sibuk, jadi ya udah gua share teknik ini dulu yaa. nanti akan gua update di shell indoxploit. Oke Langsung aja ........

1. Buatlah sebuah folder untuk letak folder symlink nya (bebas nama foldernya)

(disini, foldernya gua namain "symlink")

2. Masuklah kedalam folder yang baru kita buat tadi, lalu buat lah sebuah file .htaccess dengan isi sebagai berikut: 

3. Masukkan Command Linux ini di dalam Command Shell yang tersedia dalam shell backdoor. (di shell indoxploit, fitur "command"). Eksekusi Command ini di dalam folder yang kita buat tadi.

ln -s /var/www/vhosts sym 

/var/www/vhosts -> ganti dengan folder yang ingin di symlink, (ex: /home, /root, /var, )
sym -> ini ada folder yang nantinya akan menampung semua isi dari symlink tersebut.

Fungsi symlink secara singkat dapat di artikan bahwa sebuah folder (/var/www/vhosts) akan di link kan ke dalam sebuah folder baru bernama "sym" yang tadi kita masukkan dalam command shell. Jadi nanti di dalam folder /sym , isinya merupakan seluruh folder di dalam /var/www/vhosts

4. Yap, jika sudah, langsung buka di url: (www.target.com/symlink/sym/)

symlink -> merupakan nama folder yang kita buat di awal langkah tadi.
sym -> tempat menampung isi dari folder /var/www/vhosts

Dan terakhir, buka salah satu folder yang tertera disana , contohnya:

www.target.com/symlink/sym/domain.com/ (cek ss )

(ups, ternyata forbidden)

Mari kita cek lagi

(lihat, ada folder "httpdocs" setelah nama domainnya)

Folder "httpdocs" merupakan document_root dari web tersebut.

Okee, jadi kita buka begini:

www.target.com/symlink/sym/domain.com/httpdocs/

Oke, simple bukan? 

Silakan berkarya lagi, heheheheheh

Read more

Vhosts Config Grabber

Halooo, kali ini gua akan share tutorial "Vhost Config Grab".

1. Kalian Sudah harus mempunyai target . (cek ss)

( /var/www/vhosts/domain.com/httpdocs/ - vhosts atau vhost)

2. Jika kalian sudah mempunyai target dengan ciri seperti di SS tadi. Sekarang gunakan fitur "config" IndoXploit Shell.

( jika sudah, klik saja "done" )

Lihat hasilnya .........

Oke, sekian dulu. mudah kan? 

Download Shell IndoXploit: http://www.indoxploit.or.id/2016/05/indoxploit-shell-first-edition.html

Read more

CTFS[dot]ME WRITE UP DEBUG DREAMING

[*] LINK: https://ctfs.me/web/web30/
[*] TITLE: Debug Dreaming
[*] Kategori: Website
[*] Point: 30
[*] Level: Easy

Dalam challenge ini,Kita diberi soal "You want to buy flag, but you not have much money. you need to work to get money Bank CTFS.ME"

Jika kita buka Link yang tertera tersebut, Kita akan ditujukan ke tempat yang dimaksud dalam soal ini, yaitu: Bank CTFS.ME
Di dalam soal, sudah diberi sebuah clue/petunjuk, bahwa untuk mendapatkan flag nya kita harus membelinya. Namun, Ketika klik "Try It" muncul sebuah pesan

Menurut soal, kita tidak mempunyai cukup uang ( tertera hanya memiliki $10 ) untuk membeli flag tersebut. Lalu Bagaimanakah caranya agar kita membeli flagnya? dan bagaimana kita memiliki cukup uang untuk membelinya?

Simple Saja, jika kita cerna baik-baik soalnya "you not have much money. you need to work to get money" , dalam artian kita harus melakukan sesuatu agar uang kita bertambah. Apa kah kalian terpikir langkah apa yang harus kita lakukan untuk mengubah nilai uang nya ? ...............

Yap, (semoga terpikirkan oleh kalian) jika kalian sering/pernah mengedit sebuah content/artikel dalam sebuah website menggunakan "Inspect element" maka tanpa pikir panjang kalian akan mencoba melakukannya....

Dan Kita Lihat bagian ini.........

Kita dapat lihat bahwa variable ballance merupakan variable nilai 'money' disimpan, dan disana di cek menggunakan if(ballance > 9999) { output.flag } else { can't bug flag } yang artinya bahwa uang kita harus diatas dari "9999"

Dalam source tersebut kita mengetahui bahwa "99999999" Money di panggil menggunakan javascript dengan memanfaatkan "document.getElementById('money')" sehingga ketika kita ganti nilai ( value ) nya, otomatis saat dipanggil javascript akan merespon nilai nya sesuai dengan data yang kita masukan.

Dan Alhasil, kita coba klik "Try It" .......

Yeahhhh, Itu dia Flag nyaaa........

Read more