Perlihatkan Tulisan

Seksi ini mengijinkan Anda untuk melihat semua tulisan yang dibuat oleh anggota ini. Catatan bahwa Anda hanya bisa melihat tulisan yang dibuat dalam area di mana Anda memiliki akses terhadapnya.


Topik - descrates

Halaman: [1] 2 3 ... 14
1
Website + SEO / 0-day bug vs pentest
« pada: April 13, 2017, 08:30:17 PM »
karena temanya website ya bahas deh, 0-day bug aka bug anyaran + serius dan biasanya jadi bulan-bulanan, punya server sendiri ya tinggal pasang "satpam", murah dan gampang, kalo server numpang ya jadi masalah, terus apa hubungannya dengan pentest?

gw seneng nyebut ini kayak parasite, saling tikam-tikaman, tdk mudah jadi pentester dan tdk mudah juga jadi admin situs

1. tidak ada yang sempurna, so asli deh dipentest biar ngerti bocor dimana, cuman kadang admin situs rada-rada magabut, lol magabut dalam artian beneran magabut (gw juga gitu, tapi kalo pas deadline ampun deh)
2. pentester, bug hunter, dsb kerjaannya kan, gw nemuin bug nih terus bisa nggak ada kerjasama gitu, artinya emang pentester niat bantuin, cuman biasanya admin ada gengsi
3. admin situs biasanya ngeblock email anon, BUMN banyak yang kayak gini, wkwkwk
4. situs survive ato kolaps
5. pada kasus tertentu biasanya adminnya nakal, minta patch tapi nggak bayar, lol mau itu titel panjang (CISSP, CISA, QSA, PA-QSA)


2
Website + SEO / Golang + Git = backdoor alamiah
« pada: April 13, 2017, 06:40:38 PM »
sebenernya udah lama, dan tidak akan jadi backdoor kalo tidak tersambung ke website, kenapa? secara pasti kita perlu melihat kode, kalo yang tidak pasti kita nyobain sendiri deh pake cmd/terminal

1. go build kalo nyambung ke github akan langsung compile
2. nah yang bikin bahaya penggunaan golang cuma sebagai bungkus doang
3. run deh

tapi karena yang bisa golang masih dikit dan jarang yang masang golang ya gimana gitu


3
Chit-Chat / pro kontra ketangkepnya hacker
« pada: April 10, 2017, 11:53:48 AM »
tadi pagi (serius gw ketinggalan beritanya) gw baca berita tentang tertangkapnya seorang hacker yang bernama ekel aka sultan haikal yang bobolin situs (untung bukan pake nama hmei7), buat yang melek, berita ini biasa saja dan hebat, buat ahli security yang komen "itu biasa aja dan -komennya merendahkan-" pastilah dia tipe ahli security kelas web, mereka bukan spesialis bug hunter atau super defacer, ambil contoh snowden, apakah snowden bisa disebut ahli security standar dkk dsb? jawabannya ya tidak, karena praktek levelnya melebihi sertifikasi security yang ada

hebat? sudah tentu si ekel hebat, kalo ngga "hebat" ya ngga akan diakui komunitas, kita balik lagi liat dulu yang dimaksud ekel “ngehacking” di sini apaan? yang jelas mau itu dari games, efek visual, etc bisa kok disebut ngehacking, dari web defaced aja bisa diperbaiki dalam hitungan menit kalo adminnya jago, ya adminnya juga jago sotosop sampai mass defacements, lol

ada ungkapan seringlah update antivirus, bisa jadi benar baik itu di komputer (desktop/laptop/server), maupun ponsel. tapi kalo sudah kepada kalo tidak update = tidak aman itu adalah salah

kalo admin situs, lalu mikirnya jangan sampai deh sistem dihack dengan pake patching ato password berlapis itu adalah salah besar karena ada hacker yang jago menebak password bahkan jago menebak bug, makanya ada sistem biometrik ato iris scanner kayak punya CIA buat batas

bagi gw sendiri, hacker-hacker yang hebat adalah yang aksinya berguna bagi kemanusiaan, mau itu blackhat ato whitehat terserahlah, kalo ikut program bug hunter terus dapat reward ya sama saja mengadaikan kemampuan secara ngga langsung, ada juga yang lebih manusiawi dari hacker-hacker yang suka bikin tools kecil, ada juga yang songong pas ngomong di konferensi, ato ada juga yang nulis ilmunya tanpa bayaran...

hacker sejati "pelit" berbagi ilmu bukan karena memang tidak punya ilmu dan sok misterius biar dibilang hebat, tapi lebih permintaan membagi ilmu yang menjurus spesifikasi kejahatan, ato menunda berbagi ilmu karena infrastruktur yang belum kuat (asli ini mah terjadi dilapangan)

ambil contoh snowden lagi, definisi snowden = hebat bagi banyak orang/negara juga berbeda-beda, dan tetap berakhir hebat, mungkin yang kontra amerika mengagumi snowden karena berhasil memberi bocoran paling gila dalam sejarah spionase dan yang tidak kagum yaitu amerika, hehehe intinya setiap "penjahat" ato "pahlawan" juga punya standarisasi sendiri tentang kenapa dia disebut penjahat/pahlawan, tetap saja penuduh punya pembelaan sendiri


4
Software Lokal / screenshooter (win32)
« pada: April 10, 2017, 10:04:48 AM »
ini decode kodenya base64 ya, terus save as exe
portable, minimal pake winxp, jalankan terus tekan printscreen
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5




1. RAM http://www.crucial.com/usa/en/macbook-pro-2*5ghz-intel-core-i5-%2813-inch-ddr3%29-mid-2012/CT3327430
2. SSD http://www.crucial.com/usa/en/macbook-pro-2*5ghz-intel-core-i5-%2813-inch-ddr3%29-mid-2012/CT8694201

6
Website + SEO / Cara manual nge-Rip konten SWF dari website
« pada: Maret 04, 2017, 07:48:26 AM »
yang gampang aja, pake Chromium tanpa Adobe Flash
gunanya ya buat seneng-seneng aja

1. klik kanan pas kotak SWF-nya yang ngga bisa di-play, terus kita inspect
2. akan muncul alamat SWF-nya, kita copy

    misal "/games/lana.swf" kita paste di URL induk >>> bababa.com/games/lana.swf

    kita unduh deh

3. setelah terunduh kita edit pake JPEXS free flash decompiler, extract semuannya wkwkwk
4. perlu pengetahuan tentang P-Code / ActionScript buat editing lebih lanjut

7
Website + SEO / cara testing "overkapasitas" pengunjung di forum
« pada: Pebruari 20, 2017, 08:39:53 PM »
begini ya, mungkin ini terdengar lucu atau bagaimana, tapi sejauh ini sudah teruji secara klinis
alat dan bahan

1. golang
2. valyala/goloris

faktor pertama kita perlu ubah nilai contentlength sebesar 200000000 (nginx/apache tidak akan memakainya)
yang BUMN aja paling berapa, ya ini memang mustahil dipakai

faktor kedua kita perlu ubah nilai dialworker sebesar 256 (rata-rata settingan), kenapa begitu?
rata-rata admin pemikirannya begitu

faktor ketiga kita perlu useragent random, perlu modifikasi sedikit (nggak juga gpp)
biar nggak kena block, filosofi HOIC

lalu compile dan jalankan

biasanya akan muncul pesan error, too bla bla bla, error 513, error 503, etc
dan muncul nilai content length realistis, w00t!

nah dari nilai itu kita bisa coba DDoS berdasarkan "content length"
kalo lolos uji berarti baik kalo nggak berarti KO
kalau mau dicombo dengan slow read hehehe


8
Programming / [Golang] trik bikin "random" http.Header
« pada: Pebruari 14, 2017, 12:22:05 PM »
Golang memang sangat powerfull buat bikin tool web service
dan juga buat stressing/benchmark (termasuk DDoS)

berikut ini potongan kodenya, simple tapi powerfull


package main

import (
   "math/rand"
   "net"
   "net/http"
   "os"
   "os/signal"
   "strconv"
   "crypto/tls"
   "flag"
   "fmt"
   "time"
   "runtime"
// dst, dll, dsb

var (
   headersWordlists []string = []string{
   "#OpIsrael",
   "Pokemon Go&lang=all&stop_spam=0&stop_porn=0",
   "US Election",
   "MU",
   "WheresHillary?src=tren",
   "La Liga",
   "Bundesliga",
   }
   headersReferers []string = []string{
   "http://www.google.com/?q=",
   "http://www.usatoday.com/search/results?q=",
   }
   headersUseragents []string = []string{
   "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/532.1 (KHTML, like Gecko) Chrome/4.0.219.6 Safari/532.1",
   "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; InfoPath.2)",
   "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.5.30729; .NET CLR 3.0.30729)",
   "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Win64; x64; Trident/4.0)",
   "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; SV1; .NET CLR 2.0.50727; InfoPath.2)",
   }

)

func MyHeader(host string) *http.Header {
   hdr := http.Header{}

   hdr.Add("User-Agent", headersUseragents[rand.Intn(len(headersUseragents))])
   hdr.Add("Referer", headersReferers[rand.Intn(len(headersReferers))]+headersWordlists[rand.Intn(len(headersWordlists))])
   hdr.Add("Keep-Alive", strconv.Itoa(rand.Intn(800)+100))
   hdr.Add("Host", host)

   return &hdr
}

9
Chit-Chat / trik mendeteksi spin/ngeles
« pada: Pebruari 10, 2017, 06:29:30 AM »
spin atau ngeles atau "memutar fakta" adalah salah satu buat lari dari masalah
biasanya buat supporting bahkan bisa juga hoax
diambil dari beberapa sumber

1. cherry picking, pilih satu dua yang bagus, sembunyikan ribuan yang cacat
     Jakarta adalah kota termaju di Indonesia (dimunculkan)
     Jakarta sering banjir, kebakaran rumah dan layanan kesehatannya banyak masalah (disembunyikan)

2. no-denial denial, kalo ini biasanya biar kelihatan tidak salah kalau sudah ketahuan bohongnya
     "bukan maksud saya buat menistakan anda tapi..." (eeewww banget kan)

3. evasion/mengelak/menghindar
     "no comment" atau "jangan tanya yang susah-susah"

4. no-apology apology, "tidak minta maaf berbungkus permintaan maaf"/minta maaf dengan framing
    "minta maaf tapi lewat video" atau "minta maaf dengan surat"

5. air mata buaya
     "saya tahu saya telah berbuat kesalahan", salah satu trik untuk dapat "maklum"

6. hysteron proteron, ini agak kompleks buat penerapannya
    "kami menaikan harga BBM karena terkait satu dan lain hal termasuk di dalamnya subsidi"
    atau contoh ketika Fir'aun tenggelam dia berucap "aku percaya pada Tuhan Musa dan Harun"
    "jika mereka berikan aku uang, pastinya aku lebih kaya"

7. diversi
    contohnya ketika mantan presiden SBY mencuit "saya bertanya kepada presiden dan kapolri..."
    kemudian banyak buzzer anti-SBY yang menjadikannya sebagai lelucon

8. "pengalihan isu", contohnya banyak

10
Programming / trik compile sederhana Golang (Windows)
« pada: Pebruari 07, 2017, 11:58:59 AM »
1. C:\go\pkg\tool\windows_386\compile.exe foo.go
2. C:\go\pkg\tool\windows_386\link.exe -w -s foo.go.o
3. C:\go\pkg\tool\windows_386\ren a.out foo.exe

kalo aplikasi kompleks ya grabbing dulu, sejauh ini gw lakuin itu
lebih enak daripada pake "go build"

Halaman: [1] 2 3 ... 14