Cara Mendapatkan File /etc/passwd Dengan Symbolic Link atau Symlink di Cron Jobs cPanel - Dengan tutorial kali ini, kita dapat melihat daftar user yang terkonfigurasi di server cPanel kalian. Perlu diingat, Saya membuat artikel ini hanya untuk edukasi tentang Web Security, jadi tolong jangan disalah gunakan dan saya tidak bertanggung jawab apabila ada penyalahgunaan, semoga bermanfaat.
Apa itu Cron Jobs?
Sedikit pengetahuan tentang Cron Jobs, Cron Jobs memungkinkan Kamu untuk mengotomatiskan perintah atau script tertentu di situsmu. Kamu dapat mengatur perintah atau script untuk menjalankan pada waktu tertentu setiap menit, jam, hari dan setiap minggu secara otomatis.

Apa itu File /etc/passwd?
File /etc/passwd adalah database berbasis teks yang berisi informasi untuk semua akun pada sistem. Dimiliki oleh root dan memiliki izin 644. File hanya dapat dimodifikasi oleh root atau user dengan hak akses sudo dan dapat dibaca oleh semua pengguna sistem. (sumber : linuxid.net)

Jadi kali ini saya akan memanfaatkan Cron Jobs untuk mendapatkan File /etc/passwd, sebelum itu kalian harus punya akses cPanel terlebih dahulu, boleh menggunakan cPanel kalian sendiri untuk bahan uji coba (saya tidak menyarankan menggunakan cpanel milik orang lain).

Steps :
1. Login ke cPanel website kamu. 
2. Cari Cron Jobs di menu Advanced dan buka Cron Jobs.
3. Jika sudah mengakses halaman Cron Jobs lalu scroll kebawah bagian Common Settings.
4. Kemudian klik/pencet opsi "-- Common Settings --" dan pilih "Once Per Minute(* * * * *)".
5. Dan isi di kolom Command dengan command seperti berikut ln -s /etc/passwd ~/passwd.txt.
6. Jika sudah sesuai seperti yang diatas klik "Add New Cron Job" untuk menyelesaikan.
7. Kalau berhasil akan ada peringatan success, dan kamu masih bisa mengubah command atau juga waktunya sesuai yang kamu inginkan dibagian Current Cron Jobs.
8. Jika sudah buka File Manager cPanel kamu dan cek file di directory /home/nama_user/passwd.txt.


Jika ada kesalahan kata atau apapun tolong koreksi di kolom komentar dengan kata yang sopan, Sekian artikel kali ini, semoga bermanfaat dan sampai jumpa di artikel berikutnya.
5 Extension Visual Studio Code Yang Wajib Di Install Pemula - Hae gaess dah lama nih engga nulis artikel lagi di blog ini dari bulan agustus kemarin, dikarenakan yaaa sekolah yang baru jauh jadi kurang waktu aja untuk hal-hal seperti ini hehehe, yaps langsung aja ke pembahasan.

5 Extension Visual Studio Code Yang Wajib Di Install Pemula.


Kali ini saya bakal share beberapa Extension/Ekstensi pada Visual Studio Code yang wajib di install Pemula, nah bagi yang belum tau apa sih VS Code/Visual Studio Code itu? berdasarkan info dari Wikipedia kurang lebih seperti ini, Visual Studio Code adalah aplikasi kode editor yang dikembangkan oleh Microsoft untuk Windows, Linux dan macOS. Ini mencakup dukungan untuk debugging, kontrol Git yang tertanam dan GitHub, penyorotan sintaksis, penyelesaian kode cerdas, cuplikan, dan refactoring kode.

Jika kalian belum download Aplikasinya bisa klik tulisan dibawah ini.



1. PHP Server
 Extension PHP Server adalah extension yang dapat mengaktifkan server lokal, ini sangat membantu bagi anda yang sedang menulis code PHP tapi codenya tidak bisa di lihat, karena Di Windows/MacOS PHP tidak terinstall secara langsung, hanya file html/htm yang bisa dilihat,,, jadi tidak bisa.


  • Tampilan Install Extension :



2. Live Server
Extension Live Server adalah extension yang sangat membantu bagi kalian para programmer untuk melakukan editing script website tanpa reload halaman browser, hanya dengan save codingan kalian tampilan di browser langsung berubah, simple kan? hehehe.


  • Tampilan Install Extension :



3.  Auto Close Tag
Extension Auto Close Tag dapat menutup tag html secara otomatis, contohnya ketika kita ketik tag awalan <html> akan langsung muncul tag penutupnya </html>.


  • Tampilan Install Extension :



4. Auto Rename Tag
Extension Auto Rename Tag merupakan extension yang berguna dimana jika kita menulis tag <h1>Naufal Ardhani</h1> nah ketika pembuka tag itu di ubah (<h1>) jadi <h2> maka otomatis tag penutupnya jadi </h2> : <h2> Naufal Ardhani </h2>.

  • Tampilan Install Extension :

5. Bracket Pair Colorizer
Extension Bracket Pair Colorizer, fungsi extension ini adalah memberikan warna pada pasangan bracket sehingga dapat membantu visual kita dalam memahami rentang bracket diantara kode-kode yang kita akan edit.



  • Tampilan Install Extension :



Sekian saja artikel 5 Extension Visual Studio Code Yang Wajib Di Install Pemula, nanti akan ada tambahan untuk extension di atas cek selalu blog ini, Kalian bisa request artikel di kolom komentar, thanksss!~~~~
Cara Install SQLMAP di Mac dengan HomeBrew - SQLMAP adalah tools opensource yang mendeteksi dan melakukan exploit pada bug SQL Injection secara otomatis. dengan melakukan serangan SQL injection seorang attacker dapat mengambil alih serta memanipulasi sebuah database di dalam sebuah server.

Tools ini cukup populer dikalangan peretas mulai dari pemain baru dan pemain lama karena selain mudah dipakai tools ini juga sangat mudah didapatkan oleh karena itu tools ini merupakan tools favorit bagi para peretas hehehe.

Sebelum melakukan instalasi sqlmap silahkan cek terlebih dahulu apakah sqlmap sudah terinstall pada macbook anda atau belum, ketik "brew info sqlmap" jika ada tulisan "Not Installed" seperti gambar dibawah berarti tandanya belum terinstall jika belum.... langsung aja ikuti langkah dibawah.

Brew Info SQLMAP


Langkah :

  • ketik "brew install sqlmap" (tunggu sampai proses instalasi selesai).
  • jika sudah selesai jalankan toolsnya, dengan cara ketik "sqlmap".
SQLMAP INSTALLED

Nah sekian saja tutorial kali ini semoga bermanfaat, saya tidak bertanggung jawab atas apa yang kalian lakukan dengan tools ini, gunakan sebaik-baiknya,  jangan lupa share artikel ini dan terus kunjungi blog ini thanks.



 
Instagram Tools versi CLI dengan Python2 - Instagram (juga disebut IG atau Insta) adalah sebuah aplikasi berbagi foto dan video yang memungkinkan pengguna mengambil foto, mengambil video, menerapkan filter digital, dan membagikannya ke berbagai layanan jejaring sosial, termasuk milik Instagram sendiri. Satu fitur yang unik di Instagram adalah memotong foto menjadi bentuk persegi, sehingga terlihat seperti hasil kamera Kodak Instamatic dan polaroid. Hal ini berbeda dengan rasio aspek 4:3 atau 16:9 yang umum digunakan oleh kamera pada peranti bergerak. ( Wikipedia )

Kali ini saya membuat Instagram Tools versi CLI (Command Line Interface) dengan Python2, Kenapa CLI? Karena versi Web sudah ada yang buat yaitu Bpk Teguh Aprianto dan saya terinspirasi membuat versi CLI dari tools Web Bassed beliau, jadi untuk apa kalau saya buat juga hehe, bagi yang belum tau apa itu CLI bisa baca disini.

Saya membuat Instagram Tools ini dengan cara Parsing Data dari Json API buatan Bpk Teguh Aprianto lalu hanya ada tambahan sedikit yaitu merapihkan kata kata :D, nah menurut kalian bagaimana? mudah kan? hehe.


Fitur : 

  1. Instagram Profile Lookup.
  2. Instagram Email Checker.
  3. Instagram Username Checker.


Screenshot : 





Cara Menggunakan?
Mohon Maaf kalau Script di Encrypt, karena scriptnya gaenak diliat acak acakan jadi saya encrypt deh, gaada loger atau apapun kok aman hehe.

Sekian saja yang bisa saya sampaikan semoga Instagram Tools versi CLI dengan Python2 bermanfaat bagi kalian semua, silahkan komen kalau ada yang ingin ditanyakan.
Bug Bounty : Reflected XSS / Cross Site Scripting pada Instagram Tools yang dibuat oleh Teguh Aprianto. - Pada artikel kali ini saya akan membahas Bug Bounty dari Bpk Teguh Aprianto beliau merupakan Founder & Contributor Ethical Hacker Indonesia, namanya telah dikenal luas oleh para kalangan cyber.

Sebenarnya Dia tidak membuka Bug Bounty tapi tangan saya yang iseng ini gatal rasanya ingin mengetest keamanan pada toolsnya jadi apa salahnya kalau saya coba? hehe, dan selang beberapa menit saya pun langsung menemukan bug Reflected XSS pada Halaman Instagram Profile Lookup, gausah ngomong panjang lebar langsung saja lihat stepnya dibawah.


Jadi, berawal dari saya melihat postingan Facebook dari Bpk Teguh pada jam setengah 8 ( kurang lebih )


Saya melihat dia meluncurkan Tools buatannya yang bernama Instagram Tools, disitu langsung saja saya mencoba untuk menggunakan tools itu, Tools yang saya gunakan adalah Instagram Profile Lookup, Tools ini fungsinya untuk mendapatkan informasi detail pada akun instagram.

Dengan Tools ini saya bisa melihat Photo Profile, Followers, Following dan Bio seseorang tanpa perlu harus membuka instagram langsung, sebenarnya masih ada lagi sih, seperti mengecek akun private,bisnis dan ter-verifikasi atau tidak. 

Langsung saja saya mencobanya dengan memasukkan username Instagram saya yaitu naufalardhani_, kalau bisa di follow ya kawan kawan nanti saya follback hehe.


Nah tools berjalan dengan baik, menampilkan informasi tentang akun saya, dan saya kepikiran untuk melakukan XSS / Cross Site Scripting pada tools itu, karena disitu Bio saya tertulis "Security Researcher & Blogger" saya langsung saja mencoba mengganti Bio akun IG saya dengan Payload XSS, Payload = <script>alert("XSS")</script>.


Dan bio saya pun sudah berhasil diganti dengan payload XSS, lalu saya coba lagi menggunakan tools Instagram Profile Lookupnya untuk melihat payload saya tereksekusi dengan baik atau tidak.


Dan benar saja payload saya tereksekusi pada halaman tersebut, Yeayy!!!


Sehabis itu saya langsung meng-Report bug tersebut kepada Bpk Teguh Aprianto dan kemudian bug tersebut langsung di patch, lalu saya di kontak langsung oleh beliau melalui chat Facebook meminta informasi alamat rumah saya guna untuk pengiriman reward.

Reward :

  • Raspberry
  • Kaos Ethical Hacker Indonesia


Sekian saja write up kali ini, saya hanya bisa menyampaikan seperti ini, mohon maaf kalau bahasa yang saya gunakan tidak bagus, semoga bermanfaat untuk kalian semu, jika ada yang ingin ditanyakan langsung saja bertanya di kolom komentar.
















Script Login dengan Bahasa Python berbasis CLI
 - Kali ini saya akan membagikan kepada kalian Script Login dengan Bahasa Python berbasis CLI, kenapa saya membagikannya dengan bahasa Python, tidak dengan bahasa yang lain? karna Python mudah dipahami bagi pemula seperti saya, oke langsung aja comot dibawah.

Keterangan :

  • Silahkan ganti Username dan Password Sesuka kalian, Default user : naufal & pass : ardhani.
  • Pada Code 1 password akan terlihat jika kita tulis, sedangkan Code 2 tidak terlihat.



Code 1 :
nama = raw_input("[+] Username : ")
pswd = raw_input("[+] Password : ")

if nama == "naufal" and pswd == "ardhani":
	print("\n[+] Berhasil Login!!!")
else:
	print("\n[+] Gagal Login!!!")

Pict 1 :


Code 2 :
import getpass

nama = raw_input("[+] Username : ")
pswd = getpass.getpass("[+] Password : ")

if nama == "naufal" and pswd == "ardhani":
	print("\n[+] Berhasil Login!!!")
else:
	print("\n[+] Gagal Login!!!")

Pict 2 :


Sekian saja artikel kali ini, semoga bermanfaat dan jangan lupa share :)
Tutorial BruteForce Wordpress dengan SVScanner Penetration Testing Tools - Setelah kemarin saya membagikan SVScanner Application Web Penetration Testing Tools dan sekarang saya akah memberikan tutorial pertama yaitu Tutorial BruteForce Wordpress dengan SVScanner Penetration Testing Tools dengan mudah.

Dengan tools ini kita tidak perlu susah untuk mengetahui username pada wordpress tersebut, karena username bisa didapatkan di tools SVScanner, woww hebat bukan? dan ohiya sebenarnya ini bukan BruteForce full wordlist, tapi hanya BruteForce Default Admin hehehe, tapi mungkin nanti saya akan rombak sedikit supaya bisa dengan Big Wordlist.


  • Jika belum memiliki tools SVScanner silahkan klik disini.

  • Lakukan sebelum eksekusi.
[ ! ] Masukan link pada target.txt yang berada di directory TargetList.

  • Brute Force Step
  1. ketik, php svscanner.php.
  2. ketik, 2 ( untuk menjalankan WordPress Attack Default Admin ).
  3. Threads, Enter the list number, Delete duplicate data ?, Total Request samakan dengan gambar diatas.
  4. Tunggu sampai proses Brute selesai.
  5. Jika sudah selesai akan seperti dibawah, namu saya gagal karena wordlist kurang josss hehehe, nanti akan saya share big wordlistnya.
Sekian saja, saya tidak bertanggung jawab atas apa yang kalian lakukan karena saya hanya ingin berbagi ilmu dan tolong gunakan secara bijak.