[APPS] Instagram Photos & Videos Downloader

Instagram Photos & Videos Downloader
(Instagram Photos & Videos Downloader preview 1.0)

Instagram Photo+Video Download [named] is a tool to download photos and / videos quickly, created with the C# language by Rieqy Muwachid Erysya's [coded] a.k.a RieqyNS13 a.k.a gay or something else related.

Works on all any Instagram account, including accounts with adult photos and videos. :v



Instagram Photos & Videos Downloader
(Instagram Photos & Videos Downloader preview 1.1)


There are three options;

1. Only download photos
2. Only download videos
3. Or to download all kinds (photos & videos)




Download: instagramdownloader.zip [48.99 KB]

1 comments:

[ASK] Anybody Can Describe This Fucking Script?

Ada yang tau, skrip apakah di bawah ini?


Ini terdapat pada folder Startup Windows saya, dengan nama 7595142.vbs dan berartibut tersembunyi (hidden) yang jelas-jelas ini akan berjalan dengan sendirinya ketika PC saya nyalakan.
Dan ketika saya coba menghapusnya, beberapa detik kemudian muncul lagi demikian.

Adakah yang bisa menjalaskan (alur skrip) apakah ini?

Terima kasih. :)

3 comments:

[SCRIPT] How to pinging a host by PHP?

Pinging a host by PHP
# usage; this.php domain/ip


1 comments:

[SCRIPT] Auto Refresh Facebook Access Token

0 comments:

[APPS] BBM 2.10.0.31 Mod Transparent

BBM 2.10.0.31 Mod Transparan Preview

Bila droider bosan dengan tampilan aplikasi BlackBerry messenger official, maka BlackBerry messenger (v. 2.10.0.31) Mod ini bisa jadi alternatif untuk di install di handheld android.



  • Fitur :
- Tema Transparan
- On/Off Block Read
- Grayscale Display Picture
- Full Display Picture
- Shape Display Picture
- Flash Lamp
- Lock Mode
- Post Image to Facebook
- Move to SDcard
- Auto Rotation
- Enable Auto Text
- Reload Button
- Enable Custom Font
- Enable
, Emoticon




  • Screenshot :
BBM 2.10.0.31 Mod Transparan Preview






  • Download  :
http://static.4shared.com/images/indexPage/upload.png?3989885575
(click here for download)






  • How to :

- Uninstall BlackBerry messenger yang orisinil.
Note : Tidak perlu takut PIN berubah atau kontak hilang, karena jika Anda login dengan email yang sama, maka tidak ada perubahan sedikitpun dari yang sebelumnya.
- Buka Pengaturan > Pengaman > centang Sumber tdk diketahui.
- Buka APK BlackBerry Mod yang baru saja Anda unduh.
- Install.




Muwehehehehe, mungkin cukup sekian saja ya, posting selanjutnya Insha'Allah pembahasanan mengenai bagaimana cara modifikasi aplikasi Android. Hamdoelelah. :)

2 comments:

[EXPLOIT] How to Bypass ReverbNation Disable Download (w/o Software)

RevebNation logo


Apa itu ReverbNation? 

Ya, ReverbNation adalah situs web yang berfokus pada industri musik independen dan bertujuan untuk menyediakan sebuah situs pusat untuk musisi, produser, dan tempat-tempat untuk berkolaborasi dan berkomunikasi. Initinya adalah media penyimpanan lagu, sama halnya iTunes.

Dan di sini saya hanya ingin memberikan tutorial cara mem-bypass lagu yang hak izin untuk megunduhnya tidak diberikan (disable download).
Ya setelah saya cari "how to bypass/cara men-download lagu dari reverb yang disable" di google, mayoritas penulis menyarankan menggunakan software (seperti IDM, dll) untuk mendapatkannya.

Tepatnya kemaren saya telah melakukan riset (baca: iseng) untuk melakukan hal serupa seperti ini. Dan kira-kira beginilah hasil dari riset percobaan tersebut.

Saya ambil contoh lagu Anak Kemaren Sore saya (yang belum jadi :P) dan tidak ada hak izin untuk mengunduhnya. Maka yang kita lakukan hanya memanipulasi permintaan terhadap server (baca: exploit).


Cara kerja

  • 1. Putar lagu tersebut (untuk mendapatkan kuki dan atribut lainnya)
[EXPLOIT] How to Bypass ReverbNation Disable Download (w/o Software)


Simpanlah kuki yang digaris bawahi pada screenshot di atas (hanya hash-nya saja).


  • 2. Eksploitasi
Lalu kita melakukan eksploitasi agar bisa mengunduhnya.

$ wget https://www.reverbnation.com/audio_player/html_player_stream/{_reverb_currentsong cookies}?sid={songs id} -O file-name.mp3


Cara sederhana untuk mendapatkan songs id;
[EXPLOIT] How to Bypass ReverbNation Disable Download (w/o Software)




  • 3. Proof of Concept
[EXPLOIT] How to Bypass ReverbNation Disable Download (w/o Software)



Yah, sepertinya cukup sekian saja ulasan dari saya mengenai cara bypass download ReverbNation.

Akhir kalimat saya ucapkan, kejarlah ilmu sampai ke Kuvukiland (Afrika).
Semoga bermanfaat.

2 comments:

Tugas Desktop 1

http://wallcomphd.com/wp-content/uploads/2015/06/Keep-Calm-And-Love-Programming-Wallpaper-HD.jpg


Soal
  1.  Sebutkan versi-versi dari Visual Basic!
  2.  Apa perbedaan antara VB.Net dengan VB 6.0?
  3. Apa yang dimasud dengan Pemrograman Berbasis Desktop dan berikan contoh minimal 4 ? - See more at: http://rahadirpl.blogspot.com/2015/08/desktop.html#sthash.gRZ1eTkY.dpuf
     Apa yang dimasud dengan pemrograman berbasis desktop dan berikan contoh minimal 4?
  4.  Apa perbedaan pemrograman berbasis desktop dengan berbasis jaringan? 

Jawaban


  1. Visual Basic 1.0 (1991)
    Visual Basic 2.0 (1992)
    Visual Basic 3.0 (1993)
    Visual Basic 4.0 (1994)
    Visual Basic 5.0 (1997)
    Visual Basic 6.0 (1998)
    Visual Basic 7.0 (2002)
    Visual Basic 7.1 (2003)
    Visual Basic 8.0 (2005)
    Visual Basic 9.0 (2008)
  2. Perbedaan VB 6 dengan VB.Net :
    1. VB 6 baru sebagian mendukung OOP. VB .Net telah mendukung penuh OOP.
    2. Hasil kompilasi source code pada VB6 adalah file .exe biner (native code). VB .Net berupa file .exe intermediate language (MSIL byte code).
    3. Hasil kompilasi pada VB 6 dapat langsung dieksekusi. VB.Net membutuhkan run time environment / framework (.NET Framework)
    4. VB6 bermasalah pada deployment-nya (DLL hell). VB.Net tidak.
    5. Program dari VB 6 tidak dapat langsung berinteraksi dengan program dari bahasa lain. VB.Net dapat selama bahasa lain mendukung .Net.
    6. Perintah-perintah dasar pada VB 6 dan VB.Net sebagian besar masih sama kecuali untuk perintah-perintah OOP-nya.
    7. Dari sisi IDE-nya, pengetikan kode pada VB.Net lebih cepat dari pada di VB6.
    8. Untuk akses ke database VB.Net menggunakan ADO.Net, VB6 menggunakan ADO. ADO.Net bukan pengembangan dari ADO. Jadi ADO.Net menggunakan teknologi yang berbeda dengan ADO.
    9. Selain itu pada VB.Net 2008, dapat menggunakan LINQ (Language Integrated Query) untuk mempermudah mengaksesan data.
     
  3.  Pemrograman berbasis desktop adalah yang dilakukan dengan memanipulasi elemen-elemen yang dilakukan pada sebuah PC tunggal yang pengoperasiannya tidak bergantung pada PC lain dalam jaringan maupun web.

    Contoh:
    1.  Java
    2.  C
    3.  Visual Basic
    4.  C++
    5.  C#
    6.  Objective-C
    7.  Delphi
     
  4.  Perbedaan yang paling mendasar dari keduanya adalah bahwa untuk menjalankan aplikasi desktop kita harus menginstal terlebih dahulu aplikasinya pada komputer klien. Sedangkan, kalau aplikasi web kita cukup membuka browser (IE, Opera, Mozilla, Google chrome), kemudian menuju alamat dari web server, dan otomatis kita telah mendapatkan interfacenya (antar muka).
    Bahasa pemrograman dari keduanya pun berbeda, kalau pada desktop based didukung oleh beberapa macam platform Visual macam Microsoft Visual Basic, Java atau Delphi. Sedangkan untuk web based diusung oleh bahasa pemrograman macam HTML (atau sekarang versinya sudah HTML5), PHP, CSS, JavaScript, dll.

0 comments:

[SCRIPT] Bot Instagram Photos Transfer to Facebook (Reserved)

(tested on PHP CLi)


Dan ini adalah hasil dimana jika script berjalan dengan benar  
(result)


Langsung saja. Ini dia scriptnya;


Di sini ada beberapa poin terpenting, yaitu token akses.
Pada variabel $token, Anda wajib mengubahnya. Dan silahkan ubah sesuai kebutuhan juga pada variabel $sopo, ini adalah sekumpulan username Instagram target yang ingin ditransfer fotonya pada akun Facebook tujuan.


Anyway, jika ada masalah, silahkan komen dibawah. Muucih.

0 comments:

Cara Melacak atau Mengetahui Anonymous Asker di Ask.Fm

Siapa sih elo??



How’s your day? Oke, kali ini gue bakal ngebahas fenomena sosial media yang udah booming dari tahun 2013 (hingga saat ini). Yup, ask.fm. Dari dulu gue buanyaaak banget dapet curhatan dari banyak orang tentang situs ini. Terkait nyinyir-nyinyiran lah, masalah pribadi, tentang masalah romansa lah, selingkuh, keluarga, wah pokoknya banyak deh drama yang terjadi di situs ini.



Bahkan saat saya akan register akun di situs ini pun, temen gue ada yang bilang kayak gini dengan nada kesal...

“Jangan register ask.fm lah, gak guna. Itu tuh tempat orang judge seenaknya, anehnya banyak orang ketika udah bikin akun itu dan dijudge malah marah. Dasar”



Yap, tapi gue sih tetep iseng-iseng bikin. Walaupun gak dipublikasikan juga sih, haha. Ya, akun gue itu cuma buat stalking doang.



Akhirnya setelah daftar, hal pertama yang gue notice dari ask.fm itu fitur uniknya, ask.fm itu menyediakan fitur anonymous ask. Jadi, elo bisa nge-ask siapapun tanpa diketahui oleh si penjawab. Bisa dibilang fitur ini sih biangnya drama, makian, dan pertengkaran yang bertebaran di ask.fm.



Akhirnya karena fitur ginian, elo pasti bisa bayangin dong. Berapa banyak orang yang manfaatin fitur anonymous ini buat nge-ask hal-hal yang gak perlu di-ask. Bahkan yang pertamanya cuman iseng-iseng pun akhirnya bisa sampe bertengkar di dunia nyata. Ya iya, situs canggih kaya gini dikenalin ke orang-orang Indonesia alay sih ya kayak gitu, yah.

“Iya tuh gue setuju! Ngapain juga nanya-nanya hal yang gak perlu ditanyain!”



Eits, tunggu dulu, maksud gue orang alay itu ya orang yang nanya dan juga orang yang ditanya terus ngambek. Ya iyalah mereka alay, toh mereka kan bisa milih gak usah ngejawab anon yang nanya pertanyaan yang gak guna atau mungkin yang gak perlu ditanyain. Betul ga? Akhirnya gue pun ngelakuin research hari ini. Gue coba nge-search di google berapa banyak orang yang bertengkar gara-gara Ask.fm, kurang lebih keyword-nya kayak gini...





Dan... Beginilah hasilnya



drama, pertengkaran, dan perselisihan di ask.fm
1


drama, pertengkaran, dan perselisihan di ask.fm
2


drama, pertengkaran, dan perselisihan di ask.fm
3


nyinyir dan nyindir di ask.fm
4





Geez.



Liatlah betapa bobroknya generasi kita. Dan elo tau gak? Mereka semua yang bilang kata-kata kasar itu semuanya adalah remaja berjenis kelamin wanita. (Ini berdasarkan dari page one di google dengan kata kunci tersebut. Please no offense.)



Hmm.



Gue yakin mereka semua yang ada di atas, semuanya dididik oleh orang tua mereka, kalau pun kenyataannya tidak, ya pasti ada wali mereka yang berusaha mendidik mereka dengan baik.



Diajarkan supaya jadi wanita anggun, feminin, dan berkelas. Tapi kenyataannya? Wanita jaman sekarang (yang sadly ada di generasi yang sama dengan gue) tingkah lakunya kayak gini. Gue gak habis pikir. 



Dan populasi wanita kayak gini itu buanyaak beudh. Itulah sedihnya lagi.



Ya, mungkin buat elo yang ngerasa pernah bertingkah laku kayak di atas, gue harap sekarang bisa merenung dan sadar atas tingkah elo. Karena itu tuh image elo secara online kawan! Bayangin ketika elo 'ntar ngelamar kerja beberapa tahun kemudian dan perusahaan yang elo lamar nge-search nama lengkap elo terus nemu yang beginian. Gue jamin lamaran elo bakal ditolak mentah-mentah.



Kalo bahasa gaulnya mah kelakuan kaya gitu tuh 'nggak banget lah kawan. Plis, stop ngejawab pertanyaan dari asker yang 'nggak penting, yang elo rasa bisa memicu pertengkaran. Selain itu, ask.fm itu bisa dibuka dan dilihat oleh siapa saja. Jadi ya pikir-pikir dulu lah sebelum memposting susuasu, eh sesuatu.



Inget pesen dari gue.

Elo gak bisa ngelarang si anonymous untuk bertanya ke elo, tapi elo bisa dan punya hak untuk gak ngejawab pertanyaan mereka.



Oke mungkin cukup wejangannya, yah, back to the real question.

“Jadi, gimana caranya supaya bisa ngeliat profile penanya dari anonymous?”



Oke, sebelumnya gue mau ngekutip dulu sebagian policy dan peraturan privacy yang ada di ask.fm.



peraturan privacy policy di ask.fm





Nah, buat yang gak ngerti atau males baca, inti dari kutipan tersebut adalah;

ANONYMOUS TIDAK BISA DILACAK, KECUALI UNTUK KEPERLUAN INVESTIGASI KRIMINAL.

DAN 

ANONYMOUS HANYA BISA DILACAK JIKA DAN HANYA JIKA ELO NGEREPORT KE PIHAK ASK.FM TERLEBIH DAHULU.




“Jadi bisa 'nggak nih ngeliat profile si anonymous ini?”



Sadly, gak bisa. Sesuai dengan peraturan ask.fm, itu sangat tidak mungkin, kecuali jika si asker udah membahayakan si penjawab. Kalo 'nggak percaya boleh dicek link privacy policy-nya di sini.

“Eh! Bentar-bentar, tapi temen gue ada tuh yang pake semacem aplikasi Ask Tracker cekreker ceker peler tapeurwer atau apalah itu. Tapi itu bisa kok!”



Ok, first thing, lo udah ketipu sama aplikasi itu. Gue udah tes sendiri di rumah sekali dan di HP temen juga pernah beberapa kali. Jadi di riset gue itu, gue ngeask diri gue sendiri (pake 2 akun). Terus gue pake Ask Tracker itu, eh ternyata yang keluar malah akun orang lain. So, w00t means? It's hoax.



Dibuktikan juga oleh orang-orang lain di internet.



ask.tracker itu palsu hoax
Bukti pertama

ask fm tracker itu bohong
Bukti kedua

Begitu pun dengan aplikasi-aplikasi lain yang banyak beredar di google, dan juga app store, itu pure hoax. Jadi, kalo ada temen elo yang ngaku-ngaku bisa nge-track, jangan percaya yah, karena satu-satunya cara nge-track adalah kalo link ask elo dilaporkan ke pihak yang berwajib, yaitu pihak ask.fm-nya sendiri. Udah tertulis dengan sangat jelas kok di tatatertib dan peraturannya.



jadi elo bisa tau anonymous di ask.fm? oke gue percaya





Oh iya sebelum elo close artikel ini dengan kesel, gue ingin bilang bahwa gue ngerti kok dengan perasaan kalian yang lagi kesel sekarang, udah excited sama sesuatu tapi sesudah masuk eh ternyata malah 'nggak sesuai ekspektasi.



Jadi gue ingin minta maaf karena udah nipu kalian di artikel ini,

Tapi... Nipu buat ngasih edukasi gak apa-apa kan? 

Maaf ya, soalnya gue udah cape denger orang-orang yang ngaku-ngaku bisa nge-detect, nge-trace (melacak) anonymous pake Ask Tracker yang sok-sokan heker, creker atau apalah itu.



Gue ingin meng-clear-kan keadaan dan ngebuka paradigma elo semua supaya jadi lebih baik.



Supaya gak gampang percaya.

Supaya gak subjektif menilai masalah.

Supaya pertengkaran bisa dikurangi.

Dan banyak lagi harapan gue yang lainnya



Jadi, maafkan kebohongan gue di artikel ini. Dimaafin kan?

Kalo iya bagus deh, berarti mungkin elo udah dewasa dan kita sama-sama ngerti permasalahan real-nya apa di sini. Kalo 'nggak juga gak apa-apa toh gue emang salah.



Maafkanlah kekhilafan gue.


Dikutip dan dimodifikasi dari blog Ifandi


Sincerely,
Dwi Siswanto

5 comments:

[SCRIPT] Bot Telegram SimSimi

Oke, pembahasan kali ini adalah cara membuat bot Telegram SimSimi.

Apa itu Telegram? Seperti yang saya kutip dari telegram.id.uptodown.com, Telegram adalah app perpesanan instan yang seperti app kebanyakan seperti Viver, WhatsApp, dan LINE, memberi Anda kemudahan, kemudahan akses untuk berkomunikasi dengan semua kontak Anda. Perbedaan utama di antara mereka adalah bahwa Telegram juga menawarkan Anda keamanan dan pribadi yang meningkat, katanya.

Dan, apakah itu Simsimi? SimSimi adalah aplikasi chatting yang terkenal pada tahun 2012 (hingga sampai saat ini). SimSimi juga sering disebut “Intelligent Chatting Robot” karena tokoh Simi ini merupakan sebuah aplikasi robot yang bisa melakukan obrolan bersama pengguna.

Lalu apa yang terjadi bila saya gabungkan antara Intelligent Chatting Robot (SimSimi) dengan aplikasi Telegram tersebut? Ya, yang jelas Anda (bagi para jomblo) tidak akan pernah kesepian jika meladeninya. :P


Yang pertama Anda lakukan adalah;

Membuat Akun Bot

Pertama kali yang Anda harus lakukan adalah mendaftarkan bot Anda pada BotFather dengan mengetikkan perintah /newbot.
Mendaftarkan akun bot pada Telegram
(mendaftarkan akun bot)

Lalu masukkan nama bot keinginan Anda, dan setelah itu masukkan nama pengguna (username) untuk akun bot Anda (dengan akhiran memiliki `bot`).

Ok, di bawah ini adalah respon jika akun bot Anda sudah berhasil didaftarkan.
Akun bot Telegram berhasil didaftarkan
(Akun bot berhasil didafarkan)

Setelah selesai, kita kita akan mendapatkan token, semacam ini: 123456:ABC-DEF1234ghIkl-zyx57W2v1u123ew11. Catat token ini untuk ke persiapan selanjutnya. Penting, token ini hanya Anda saja yang boleh tau, karena ini adalah otorisasi untuk akun bot Anda, maka siapapun bisa mengambil alih bot Anda.

Setelah didaftarkan, akun bot sudah bisa ditambahkan pada daftar teman.
Akun bot sudah bisa ditambahkan pada daftar teman
(Akun bot sudah bisa ditambahkan pada daftar teman)



Menerima Pesan

Seperti yang ditulis di blog pak Yohanes, bot bisa menerima pesan dengan dua cara: polling dan webhook.

Polling artinya kita yang akan meminta pesan ke server Telegram. Kira-kira begini: eh ada 'nggak pesan buat bot saya, kalo 'nggak ada, bilang aja 'nggak ada setelah N detik ya. Kalau dalam N detik ada pesan masuk, langsung berikan ke saya pesannya.

Cara kedua adalah dengan webhook. Kira-kira begini: ini saya punya URL, kalau ada pesan masuk, segera posting ke URL ini ya, nanti saya proses.
URL ini semestinya harus HTTPS.
Telegram hanya mau mengantarkan pesan dengan salah satu cara di atas, tidak bisa keduanya, defaultnya adalah cara pertama.

Dan di sini saya akan membahas dengan cara yang ke dua, yaitu webhook.


Script Code

Di sini saya akan langsung memberikan script-nya.



Simpan file di atas dengan nama file apa saja dengan ekstensi php.

Lalu buat file piro.txt yang berisikan angka 1. Ini untuk mendefinisikan limit yang keberapa bot akan membalas pesan. Dan buat file kosong dengan nama simpen.txt untuk menyimpan pesan yang sudah terbalas.


Mempublikasi

Setelah menyimpan bahan-bahan di atas, Anda perlu mempublikasikannya pada situs klien, dengan syarat mempersiapkan URL HTTPS.

Lalu kita mengatur URL webhook. Contohnya jika URL file yang berekstensi php tersebut adalah;
https://dwi.local/teleBOT.php

Maka kita akan menyetingnya dengan cara mengunjungi situs;
https://api.telegram.org/bot{token dari akun bot Anda}/setWebhook?url=https://dwi.local/teleBOT.php

Setelah itu, Anda akan mendapatkan balasan berupa;
{"ok":true,"result":true,"description":"Webhook was set"}

Itu adalah respon jika URL webhook Anda berhasil didaftarkan.


Ajaklah Ngobrol, Curhat, PDKT atau Kencan Pertama :v

Sepertinya cukup sampai di sini. Yang Anda lakukan sekarang adalah silahkan untuk mengajaknya ngobrol, iming-iming sebagai peneman kesepian Anda. :P


Membuat Bot Telegram dengan SimSimi
(Respon akun bot)


Yap, mungkin cukup sampai di sini saja. Jika ada pertanyaan, silahkan lontarkan pada kolom komentar di bawah. Terima kasih. :)

27 comments:

CMSmap - The CMS Scanner

CMSmap - The CMS Scanner
CMSmap - The CMS Scanner (preview on Windows 7 Ultimate)
CMSmap adalah program sederhana bahasa Python yang mengotomatisasi proses mendeteksi kelemahan (bug) dalam CMS. Tujuan utama dari CMSmap adalah untuk mengintegrasikan kerentanan umum untuk berbagai jenis CMS dalam satu tool (alat). Pada saat scanning, CMSmap mendukung WordPress, Joomla dan Drupal.Alat ini menghemat waktu selama penetrasi. CMSmap menjalankan berbagai tes untuk menyoroti banyak kemungkinan kesalahan konfigurasi dan kerentanan bahwa situs target mungkin 'menderita'. :v

Harap dicatat bahwa tool ini merupakan instruksi awal. Dengan demikian, Anda mungkin menemukan bug, kekurangan atau kerusakan. Selebihnya, gunakan risiko Anda sendiri.Tujuan dari blog ini adalah untuk memberikan gambaran tentang hasil, fungsi dan fitur dari CMSmap ketika dijalankan. Ada sejumlah alat yang memindai CMS untuk menemukan kerentanan, seperti WPscan untuk WordPress dan JoomlaScan untuk Joomla. Tujuan dari CMSmap tidak meniru alat-alat itu, tetapi untuk menggabungkan pemindaian CMS yang berbeda ke dalam satu tool; Anda boleh mengatakan bahwa ini terinspirasi oleh alat-alat lain.Mari kita lihat fitur CMSmap yang mendukung saat ini.


Pertama-tama, CMSmap mendeteksi jenis CMS dari situs target. Jadi misalnya, jika situs target menjalankan instalasi WordPress, CMSmap akan menjalankan semua scan disesuaikan untuk WordPress.


CMSmap dilengkapi dengan daftar default plugin WordPress, Joomla dan Drupal. Anda tidak perlu mencari daftar plugin untuk jenis CMS yang sesuai. Namun, jika Anda ingin menggunakan daftar yang lain atau khusus daripada default, Anda dapat dengan mudah mengedit salah satu file standar di CMSmap.


Untuk setiap jenis CMS, CMSmap menjalankan sekelompok tes, dari yang paling sederhana seperti deteksi versi CMS, tema, standar file, plugin.CMSmap adalah alat multithreading, dan secara default diatur ke 5 proses. Hal ini untuk mengurangi kemungkinan menyebabkan penolakan scanning pada situs target. Namun, ada pilihan yang memungkinkan pengguna untuk meningkatkan jumlah proses.



CMSmap dimaksudkan untuk menjadi mudah digunakan, dalam arti bahwa satu-satunya pilihan wajib untuk scanning adalah hanya membutuhkan URL target. Namun, CMSmap dapat melakukan brute-force juga. Jika Anda ingin menjalankan serangan brute-force, password dan username harus disediakan bersama dengan file atau URL. Secara default, Drupal adalah satu-satunya CMS yang akan me-lockout account pengguna setelah login gagal beberapa kali. Ini berarti bahwa jika sebuah plugin keamanan tertentu diinstal, Anda cukup banyak bebas untuk brute-force
form login WordPress dan Joomla.

Inti dari CMSmap adalah untuk mendeteksi plugin yang rentan dan memberikan daftar eksploitasi yang potensial dengan kueri situs dari Exploit-DB. Hal ini karena, kecuali versi CMS yang diinstal sudah tua, cara termudah untuk mengambil alih sebuah website CMS adalah dengan memanfaatkan plugin yang rentan. Dalam rangka untuk melakukan itu, CMSmap mengidentifikasi plugin dengan scanning direktori web, dan kemudian untuk setiap plugin itu melakukan permintaan ke Exploit-DB. Dengan cara ini, setiap kali eksploit baru diterbitkan pada Exploit-DB, CMSmap akan mampu mendeteksi kerentanannya.


Sekarang, mari kita lihat bagaimana scan sederhana terhadap situs WordPress:

Scanning WordPress dengan CMSmap 

Dari gambar di atas, kita dapat melihat bahwa CMSmap telah mengidentifikasi file konfigurasi temp. File-file ini biasanya mengandung isi kredensial ke halaman login website.

Salah satu fitur dari CMSmap adalah brute-foce selama scan. Ketika user yang valid terdeteksi melalui kerentanan, kemudian CMSmap secara default akan mencoba secara singkat (5 kali upaya untuk brute-force attack. Hal ini sangat berguna ketika paling tidak satu user menggunakan password yang sangat lemah / sama.)

Fitur dari CMSmap brute-force adalah:

WordPress Brute Force dengan CMSmap
Setiap kali CMSmap mengidentifikasi kredensial yang valid untuk user dengan hak akses untuk meng-upload plugin, CMSmap akan meng-upload sebuah plugin yang berisi web shell. Hal ini CMSmap dimungkinkan untuk melihat plugin WordPress dalam daftar plugin yang diinstal:

daftar plugin yang diinstal

Selain memiliki kredensial yang valid, pada titik ini attacker dapat mengakses web shell untuk menjalankan/mengeksekusi perintah lebih lanjut.

attacker dapat mengakses web shell untuk menjalankan/mengeksekusi perintah lebih lanjut

CMSmap dilengkapi dengan web shell untuk WordPress, Joomla dan Drupal. Jika CMSmap tidak dapat meng-upload secara otomatis, pengguna dapat melakukannya secara manual. :P

Terakhir, CMSmap mendukung secara offline untuk mem-brute force hash password WordPress dan Joomla melalui HashCAT.

Tool ini sedang dalam perkembangan, jadi harap ingat untuk menjalankan pilihan update setiap kali Anda ingin menggunakannya. Tool ini diinangi pada GitHub dan Anda dapat dengan mudah menginstalnya dengan mengkloning repositori:

git clone https://github.com/dionach/CMSmap

Untuk daftar yang lebih lengkap dari semua fitur yang didukung oleh CMSmap, Anda dapat membaca file CHANGELOG.txt.

Sekian dari saya Dwi Cooyy yang saya kutip dari terminatio.org.

2 comments: