2 Jan 2014
Order.Log
Sekarang kita kembali lagi
mencari File log yang merupakan instant carding. Kalian bisa melihat hasil
temuan secara instan tanpa perlu mendownload database. Sebenarnya nama file
Order.log sudah umum digunakan untuk menyimpan catatan order pembelian.
Berikut Dork yang perlu
kalian masukkan dalam Google.
Dork: inurl:order.log
Sewaktu kalian memperoleh
target makan file log langsung tampil pada browser.
Pada beberapa kasus, file
log yang otomatis ter-download akan tampil pada NotePad. Supaya tampil rapi
maka COPAS data yang ada dalam NotePad tersebut ke dalam MS.Word.
Jika metode di atas
langsung menemukan file order dan sebagainya, berikut Saya berikan sebuah
Exploit pada store CGI. Sebenarnya ada banyak kasus untuk store CGI ini, ada
juga yang bisa dilakukan melalui SQL Injection. Tapi di sini Saya focus ke
FileLog pada browser untuk aktivitas carding.
Dork: allinurl:/cgi-bin/store/index.cgi?page=
Dari hasil target yang
kita dapat, cobalah membukanya satu per satu. Misalnya, di sini Saya memperoleh
target: http://www.situs-target.com/cgi-bin/store/index.cgi?page=bla-bla-bla.html.
Buanglah string yang
terdapat di belakang page=
Maka URL menjadi:
Selanjutnya masukkan
string berikut sebagai pengganti string yang dihapus:
ganti menjadi: ../admin/files/order.log
Maka URL menjadi:
Selanjutnya akan tampil
daftar order yang berisi nomor kartu kredit.
Shopper.cgi
Teknik yang saya jelaskan
kali ini adalah sebuah cara lama yang sudah terkenal. Jadi mungkin saja banyak
target yang dulunya bisa, sekarang sudah tidak dapat di eksploitasi lagi.
Dork: shopper.cgi
Pada akhir URL situs web
target yang kalian temukan, tambahkan string berikut:
&template=order.log
Oke…. Sekarang kita
selesai membahas tentang Carding in
Text. Sekarang kita akan membahas tentang Bug Cart32. Langsung aja ke TKP!!!
Bug Cart32
Berikut ini Saya akan
mengulas teknik carding pada salah satu aplikasi belanja yang sering digunakan
pada Internet, yaitu cart32. Ada beberapa Dork Yang Boleh Kalian coba sendiri.
Dork: allinurl:cgi-bin/cart32.exe
Dork: cgis/cart32.exe
Dork: allinrul:/cart32.exe/
Secara pribadi saya lebih
suka menyukai dork yang terakhir yaitu: allinurl:/cart32.exe/
Potonglah link web yang
kalian peroleh menjadi berakhiran dengan kata-kata cart32.exe
Tambahkan kata “error” di
bagian akhirnya. Jadi, secara lengkap dapat di tulis menjadi:
Kata lain yang bisa kalian
gunakan adalah “expdate”. Copy link yang telah Kalian modifikasi tersebut pada
URLbrowser kalian, lalu jalankan. Apabila yang muncul hanya halaman error makan
beruntunglah kalian karena tujuan kita memang untuk melihat hal tsb. Hanya di
sini ada dua jenis error, error yang berguna dan error yang tidak berguna.
Halaman error yang kita cari adalah yang memberikan informasi lebih lengkap,
yaitu berisi informasi CGI. Dari informasi berikut, carilah bagian Page Stup
and Directory, pada beberapa kasus namanya Cart32 Setup Info and Directory.
Pada bagian tersebut, carilah file yang memiliki ekstensi *.32.
Sebagai contoh Saya
menemukan beberapa, antara lain:
CABLE-010018.c32CABLE-010019.c32CABLE-010020.c32CABLE-010021.c32CABLE-010022.c32Dan banyak lagi
Langkah selanjutnya adalah
mengubah bentuk URL.
Dengan menghapus “error”
dan “.exe” maka URL-nya menjadi:
Masukanlah nama file *.32
yang kalian temukan pada akhir URL, sehingga menjadi:
Berikut adalah petunjuk
lainnya dengan model yang berbeda. Caranya hamper sama dengan yang sebelumnya.
Ubah URL tersebut menjadi:
Di belakang script akan
kita beri beberapa Unicode maka bentuknya menjadi:
BERSAMBUNG……….
Saya lanjutin besok di
Part 3 ya :p
Saya menggambil Tutorial
ini dari toko buku Gramedia yang berjudul “Bongkar
Rahasia E-Bangking Security dengan TEKNIK HACKING dan CARDING” yang di tulis
oleh Vyctoria dan Penrebit ANDI Yogyakarta. Kalian bisa membelinya dengan harga
Rp.47.000.-
Stay Tune di Academy48
kalo mau yang GRATISAN :p
Anda belum baca Part 1?
Silahkan langsung ke TKP
Tutorial Carding Part 1
Anda belum baca Part 1?
Silahkan langsung ke TKP
Tutorial Carding Part 1
Tolong hargai setiap Post di Academy48, Jika
ingin COPAS silahkan sertakan sumbernya. Dan jangan lupa untuk SELALU Comment
di Academy48 agar Sya semangat nge-Post :D
Subscribe to:
Post Comments (Atom)
0 comments
Terima Kasih telah membaca Post saya, jangan lupa tinggalkan Coment di bawah ya ^_^v
Peraturan:
[~] No SPAM
[~] No JUNK
[~] No SARA
[~] No PORN
Mohon di turuti peraturan yang ada ya ^^v