Thursday, 18-October-2018, 08:53:33
Welcome Guest
Main | Registration | Login
Site menu

Section categories
HACKER [10]
Disini kita membahas tentang Hacking pada Kartu Kredit, yang disadur dari Jawa Pos.

Tag Board
500

Our poll
Rate my site
Total of answers: 4

Statistics

Total online: 1
Guests: 1
Users: 0

Login form

Main » 2011 » January » 30 » HACKING TUTORIAL - 6
11:07:00
HACKING TUTORIAL - 6
Shopping.mdb
       Salah satu file database yang paling terkenal adalah shopping.mdb. Nama file database ini yang dibuat menggunakan MS.Access, biasanya juga terhubung dengan ASP. Berikut adalah teknik untuk mendapatkan file database tersebut yang berisikan data customer.
Seperti biasa, gunakan Google untuk mencari targetnya. Langkah detilnya sudah saya jelaskan pada bagian mencari database yang pertama, jadi saya tidak akan mengulang-ulang lagi. Maka saya hanya akan menyebutkan syntax-nya saja untuk bagian berikutnya.
Syntax: inurl:shopping.mdb
Dari link hasil searching, saya hanya perlu mendownload file databasenya. Isinya bukan hanya data kartu kredit baik customer maupun orders. Ada juga password user dan administrator di dalamnya.

        Proses download bisa berbeda pada tiap orang, terutama bila menggunakan aplikasi software internet download manager yang cukup beragam dalam mendownload file database.
Saya tidak mau berpanjanglebar menjelaskan masalah teknik dan nama file secara spesifik. Saya lebih tertarik untuk mengajarkan konsepnya. Sebab dengan cara seperti itu, Anda bisa mengembangkan sendiri teknik yang diperlukan. Mengapa hal ini saya tekankan, karena nama file database bisa saja berbeda-beda. Tergantung dari nama pembuat filenya dan juga demi alasan keamanan. Sebenarnya, jika Anda mau sedikit usaha, Anda bisa memodifikasi syntax: inurl:shopping.mdb , menjadi bentuk lainnya. Dalam hal ini, saya mencoba mengubahnya menjadi:
Shopping350.mdb, shopping400.mdb, dan shopping450.mdb.
Bahkan juga ada shopping.mdb, yang berupa nama file database adalah nama situs itu sendiri. Ternyata banyak juga hasil searching yang memuaskan untuk menjadi bahan latihan carding. Ini penting bagi calon ahli webmaster yang mungkin suatu saat berminat bekerja sebagai webmaster atau penjaga keamanan situs belanja di internet.


Eipc.mdb
       File database eipc.mdb adalah file default dari ProductCart. Biasanya, file ini disimpan dalam direktori productcart/database/eipc.mdb. Ada juga dari file tersebut yang mengalami proteksi password. Untuk mencari situs yang memakai sistem database ini gunakan syntax berikut untuk mencarinya di google.com
Syntax: allinurl:productcart/database/EIPC.mdb

Expire.mdb
        Kalau diterjemahkan secara kasar maka expire.mdb berarti tanggal berakhirnya sebuah kartu kredit. Walau sebenarnya maksudnya bukan itu, tapi nyatanya itu tetap berhubungan dengan carding. Bingung bukan?
Sebenarnya, ini adalah file default dari CatalogIntegrator Cart; yang merupakan aplikasi e-commerce yang dijual pertama kali oleh pihak Adobe System. Aplikasi ini lebih bersifat customer friendly, dan mudah digunakan sehingga cukup banyak pihak yang tertarik untuk menggunakannya.
Syntax: inurl:expire.mdb

      Sebagai tambahan saja, pada kebanyakan kasus password default untuk admin yang menggunakan expire.mdb adalah demo, dengan nama account admin adalah: admin
Halaman loginnya:
http://www.situs-target.com/Catalog/Admin/admin.asp
Perhatikan dengan benar huruf besar kecilnya pada URL supaya tidak terjadi error.
Lokasi file expire.mdb itu sendiri bisa Anda perhatikan secara cermat.
Apalagi jika seseorang bisa masuk, maka dia akan dapat melihat berbagai order pembelian dan tentu saja nomor kartu kredit terdapat di dalamnya. Tapi, saya rasa dengan mendapatkan file database-nya saja sudah cukup kok.


Products.mdb
       Sebenarnya ini adalah nama file database yang cukup umum digunakan. Oleh karena ini milik umum maka isinya bisa saja bermacam-macam. Ada yang menampilkan nama produk saja dalam database. Ada pula yang menampilkan daftar order termasuk nomor kartu kredit pada konsumen.
Namun, jangan ragu jangan takut, banyak juga kok yang berisikan data konsumen. Tapi ada pula beberapa yang tidak menyertai nomor kartu kredit.
Ha...ha...ha...apa Anda bingung bacanya. Makanya lebih enakan filenya Anda download sendiri yang banyak biar jelas.
Syntax: inurl:products.mdb

Billing.mdb
        File database billing.mdb ini menyimpan data kartu kredit dalam tabel Payments. Supaya lebih enak, mendingan Anda buka semua tabel dari hasil download yang Anda dapatkan. Sebab data kartu kredit tidak hanya disimpan dalam tabel Credit Cards, Orders, dan Customers. Karena bisa saja dimanipulasi oleh pembuat database, misalnya nama tabel Time (waktu), tapi isinya malah nomor kartu kredit. Dan hal ini berlaku bagi semua file database dalam buku ini. Makanya jangan cepat menyerah, tetap semangat untuk memperoleh pengalaman dan pengetahuan baru mengenai network security ini.

Shop.mdb
        Berikut adalah jenis database lainnya yang sering digunakan untuk aktivitas carding. Shop.mdb, jika diterjemahkan berarti database toko, tentu saja isinya bisa komplit termasuk kartu kredit customer.
Syntax: inurl:shop.mdb
Setiap file shop.mdb yang saya temukan selalu berupa form. Jika mau, Anda juga bisa membuka dalam bentuk tabel.


Exploitshop.mdb
         Dalam kesempatan ini saya tidak akan banyak berbicara mengenai exploit. Mengapa hal ini saya batasi, sebab kebanyakan exploit adalah teknik kuno yang sudah basi sehingga tidak banyak digunakan lagi. Beberapa exploit yang saya bahas dalam artikel ini, tujuan sebenarnya hanyalah untuk memberikan cara lain sebagai bentuk variasi, paling tidak untuk memberikan wawasan dan pengetahuan baru bagi Anda, terutama para calon webmaster. Dan selain itu juga sekaligus untuk membuka mata Anda supaya tahu bahwa tidak semuanya bisa langsung dengan cara mendownload database maupun file log. Masih dengan nama database yang sama, yaitu shop.mdb. Hanya saja model syntax dan teknik yang dilakukan berbeda.
Syntax: inurl:mall/lobby.asp
Dari situs target yang Anda temukan saat searching di Google, bukalah URL yang ditampilkan oleh Google. Biasanya, nama URL-nya adalah:
http://www.situs-target.com/mall/lobby.asp

Yang harus Anda lakukan adalah mengubah string
mall/lobby.asp
menjadi
fpdb/shop.mdb

Sehingga secara lengkap akan menjadi:
http://www.situs-target.com/fpdb/shop.mdb
Selanjutnya, Anda tinggal mendownload file databasenya. Data mengenai kartu kredit tersimpan pada bagian Payments (pembayaran).

Store.mdb
      File database store.mdb ini adalah nama lain dari shop, juga nama lain untuk products. Walau demikian, file store.mdb ini menyimpan cukup banyak nomor kartu kredit. Dan biasanya disimpan dalam tabel Carthead.
Syntax: inurl:store.mdb

Mystore.mdb
       Setelah menggunakan syntax store.mdb, berikut ini adalah model lainnya, yaitu: mystore.mdb. File database mystore.mdb ini banyak digunakan pada aplikasi shopping cart FPcartPal. Sistem ini menangani kartu kredit yang lebih aman. Sebab mereka menggunakan PayPal. Paypal adalah salah satu alat pembayaran elektronik di internet.
Syntax: inurl:mystore.mdb
Jujur saja, database ini tidaklah berisi nomor kartu kredit, sebab saya hanya ingin menunjukkan pada Anda bagaimana memodifikasi sebuah syntax. Dalam hal ini, dari store.mdb menjadi mystore.mdb. Sebenarnya, berhubungan dengan file mystore.mdb pada sistem yang sama terdapat sebuah file laporan yaitu reports.mdb. Isinya adalah laporang tentang transaksi, nggak ada kartu kreditnya. Tapi para carder biasanya memanfaatkan untuk hal lainnya. Sebab siapa tahu saja, barangkali ada file database reports.mdb yang menyimpan data kartu kredit karena bukan bagian dari produk FpcartPal, begitu pula untuk mystore.mdb.

Order.mdb
       Saya rasa Anda sudah mengenal dengan jelas order.mdb yang berarti file database pemesanan. Berarti setiap pesanan akan disimpan dalam database yang satu ini. Tentu saja untuk berbelanja salah satu sarananya adalah untuk menggunakan kartu kredit.
Syntax: inurl:order.mdb

Cart.mdb
        Ini dia kata-kata yang sering digunakan dalam online shop. Semua barang belanjaan di internet akan dimasukkan ke dalam cart (keranjang). Nah, seseorang bisa saja memanfaatkannya untuk melakukan aktivitas carding.
Syntax: inurl:cart.mdb
Kemungkinan lain dari database ini yang telah dimodifikasi. Misalnya, shoppingcart.mdb, shopping_cart.mdb, cart.mdb, clickcart.mdb, dan berbagai bentuk lainnya. Sesuai dengan kesukaan sang pemilik situs. Trik ini digunakan untuk mengelabui para carder supaya tidak bisa mendapatkan file mdb dengan mudah.


Scart.mdb
        Serupa tapi tak sama. Itulah yang bisa saya jelaskan mengenai database scart.mdb. Ada dua model syntax yang bisa Anda coba gunakan.
allinurl:admin/scart.mdb
atau

inurl:scart.mdb
       Sebenarnya model syntax ini bisa Anda modifikasi sendiri, termasuk juga untuk syntax-syntax lainnya yang terdapat dalam artikel ini. Kreatiflah mengubah syntax seperti kasus store menjadi mystore. Kalau Anda mau lebih jelas, Anda harus banyak belajar mengenai berbagai syntax google hacking (google dorks).

ExploitScart.mdb
          Untuk nama database yang sama, yaitu scart.mdb, akan saya berikan sebuah exploit. Langsung saja, dengan menggunakan syntax untuk Google:
inurl:shopKart20
Bisa juga dimodifikasi menjadi "/shopKart20/"
(tanda kutip duanya tetap digunakan)
Selanjutnya Google akan menampilkan target-target empuk yang mempunyai celah keamanan yang belum sempurna. Silakan Anda buka saja. Misalnya:
http://www.situs-target.com/ashopKart20/addprod.asp
Pertama-tama hilangkan tanda string: ashopKart20 dan seterusnya. Kemudian tambahkan string:
admin/scart.mdb
Jadinya:
http://www.situs-target.com/admin/scart.mdb
Secara otomatis akan muncul pesan apakah Anda akan mendownload file database.
Anda bisa mendownload file database langsung ataupun menggunakan program pihak ketiga, misalnya internet download manager yang softwarenya banyak ditemui di internet dan bisa didownload lalu diinstal di komputer Anda.
Dalam database tersebut, nomor kartu kredit berada pada bagian orders. Sedangkan informasi pembeli berada pada bagian Customers. Sehingga nama pemilik kartu kredit bisa diketahui dari tabel customers lalu dicocokkan id-nya dengan orders.

Miscellaneous Database
      Berikut ini adalah teknik untuk mendapatkan file database, yang boleh dibilang nama databasenya acak. Jadi miscellaneous bukan berarti itu adalah nama sebuah database. Sebenarnya hampir sama saja cara dan tekniknya dengan beberapa yang ada yang tadi sudah dibahas. Nama database itu bisa apa saja, misalnya toko.mdb, jual.mdb.
Akan saya suguhkan sebuah contoh kasus.
Syntax: /shop/category.asp/catid
Misalnya, Anda menemukan target dengan url:
http://www.situs-target.com/shop/category.asp?catid=37
Hapuslah shop/category.asp?catid=37 (angkanya bisa berapapun, tergantung situs target yang Anda peroleh). Kemudian ganti menjadi:
/admin/dbsetup.asp
Maka nama situsnya menjadi:
http://www.situs-target.com//admin/dbsetup.asp
Perhatikan dengan baik dan benar, garis miring (/) yang digunakan sebelum admin ada dua buah (//admin). Jadi itu bukan karena salah ketik!
Berikut adalah tampilan dua buah target yang saya temukan. Sengaja pada bagian ini saya memberikan contoh dua buah target untuk menampilkan mana file databasenya.
Misalnya dari contoh target yang pertama, nama file databasenya adalah icommerce.mdb. Sedangkan nama file database untuk situs target kedua adalah worldofwater.mdb.
Urusan download database-nya sekarang saya serahkan pada Anda supaya logika dan pikiran Anda bisa berkembang. Lagipula nama databasenya sudah ketahuan kok

Attachments: Image 1
Category: HACKER | Views: 667 | Added by: Pendekar | Tags: | Rating: /
Total comments: 0
Only registered users can add comments.
[ Registration | Login ]
Shopping Cart
Your shopping cart is empty

Search

Calendar
«  January 2011  »
SuMoTuWeThFrSa
      1
2345678
9101112131415
16171819202122
23242526272829
3031

Entries archive

Site friends
  • Create a free website

  • Copyright Busi Nekat,corp © 2018