Thursday, 28-March-2024, 19:21:59
Welcome Guest
Main | | Registration | Login
Site menu

Section categories
HACKER [10]
Disini kita membahas tentang Hacking pada Kartu Kredit, yang disadur dari Jawa Pos.

Tag Board
500

Our poll
Rate my site
Total of answers: 4

Statistics

Total online: 1
Guests: 1
Users: 0

Login form

Main » 2011 » January » 30 » HACKING TUTORIAL - 8
11:23:35
HACKING TUTORIAL - 8
INSTANT CARDING

          Pada dasarnya, teknik instant carding ini tidak jauh berbeda dengan teknik carding dengan mendownload file database. Hanya saja instant carding adalah aktivitas carding yang dilakukan tanpa perlu mendownload file database. Contoh yang paling gampang adalah saat Anda browsing lalu membuka file HTML dan nomor-nomor kartu kredit langsung tampil. Jenis file lainnya yang bisa langsung tampil adalah file TXT (text). Khusus untuk file LOG; ada yang bisa menampilkan isi file berupa nomor kartu kredit langsung pada browser. Terkadang ada pula yang perlu menjalani proses download yang disimpan pada folder temporary yang selanjutnya dibuka menggunakan Notepad. Atau bisa juga didownload sendiri oleh Anda.

Web_store
        Sebenarnya ada banyak aplikasi web store yang digunakan, terutama menggunakan CGI. Teknik yang digunakan berikut ini adalah dengan langsung mengakses dalam directory dengan memanfaatkan syntax Index of.
Syntax: intitle:"Index of" user_carts OR user_cart
Dari situs target yang ditemukan dari hasil pencarian di google.com, saya membuka beberapa diantaranya. sebenarnya di dalam directory tersebut terdapat beberapa informasi menarik, seperti file web_store.cgi, dan directory lainnya. Saya akan fokus pada tujuan kita saja. Dalam bagian Index Of tersebut, pertama-tama saya membuka folder User_carts. Ternyata isinya kosong, berarti bukan folder ini tempat penyimpanan file order.
Cukup hanya dengan menggunakan logika saja, kemungkinan besar lokasi lain yang digunakan adalah folder Admin_files.
        Ternyata dugaan saya benar. File order.log tersimpan dalam folder Admin_files.
Tanpa perlu basa-basi lagi, Anda bisa langsung mendownloadnya. Atau bisa juga ditampilkan langsung di browser. Sayangnya pada beberapa kasus, cara seperti ini malah menimbulkan error alias tidak bisa dibuka. Lebih enak dan lebih aman dengan membuka menggunakan Notepad saja.

CVV2
       Anda masih ingat dengan penjelasan di awal bahwa adanya kode rahasia pada setiap kartu kredit. Kita akan memanfaatkan kode tersebut untuk aktivitas carding. Sebelumnya Anda telah mencoba menggali file LOG, sekarang jenis file yang akan dijajal adalah TXT. Syntax yang saya gunakan di sini sangatlah sederhana:
inurl:cvv2.txt
Tapi hasilnya, sungguh luar biasa. Posisi file cvv2.txt ini bisa berada di mana saja. Saya bahkan menemukan cvv2.txt yang disembunyikan dalam directory images, yang biasanya digunakan untuk file-file gambar. Itulah salah satu trik untuk mengelabui. Misalnya, yang saya temukan adalah:
http://www.situs-target.com/images/cvv2.txt

Order.Log

       Sekarang kita kembali mencari file log yang merupakan instant carding. Sebab, Anda bisa melihat hasil temuan dengan instant tanpa perlu mendownload database. Sebenarnya nama file order.log sudah umum digunakan untuk menyimpan catatan order pembelian. Berikut syntax yang perlu Anda masukkan dalam Google. Syntax:
inurl:order.log
Sewaktu Anda memperoleh target, maka file log langsung tampil di browser. Supaya tampil rapi data yang ada dalam Notepad tersebut dicopy dan paste pada MS-Word. Ini hanya untuk merapikan saja, supaya lebih enak dipandang, bukan berarti nomor kartu kreditnya lebih banyak muncul.

ExploitOrder.log
        Jika di atas adalah metode langsung menemukan file order dan sebagainya, berikut ini saya berikan sebuah exploit pada store CGI. Sebenarnya ada banyak kasus untuk store CGI ini, ada juga yang bisa dilakukan melalui SQL Injection. Tapi di sini saya fokuskan paa menampilkan file log pada browser untuk aktivitas Instant Carding.
Syntax: allinurl:/cgi-bin/store/index.cgi?page=
Dari hasil target yang diperoleh, cobalah membuka satu per satu. Misalnya, di sini saya memperoleh target:
http://www.situs-target.com/cgi-bin/store/index.cgi?page=apa-pun.html
Buanglah string yang terdapat di belakang page=
Maka URL menjadi:
http://www.situs-target.com/cgi-bin/store/index.cgi?page=
Selanjutnya masukkan string berikut, sebagai pengganti string yang dihapus.
../admin/files/order.log
Maka URL-nya menjadi:
http://www.situs-target.com/cgi-bin/store/index.cgi?page=../admin/files/order.log
Selanjutnya kaan tampil daftar order yang berisikan nomor kartu kredit customer.
Bahkan data yang ditampilkan lengkap dengan nomor CVV kartu kredit tersebut.
Sebuah teknik yang hampir sama dengan di atas untuk memperoleh file order.log, yaitu sebuah modus lama yang sudah terkenal, yaitu dengan menggunakan syntax:
shopper.cgi
Lalu pada akhir URL Anda hanya perlu menambahkan string berikut:
&template=order.log


SECURITY TIPS
        Sebenarnya tips ini juga dapat diterapkan pada kasus carding-in database.
Hapus atau gantilah nama file yang sedikit riskan, misalnya: order.log, cvv2.txt, cmd.exe, cart32.exe dan sebagainya.
Simpanlah file-file penjualan yang riskan tersebut pada directory yang susah dijangkau oleh orang lain.
Sebisa mungkin hindari penyimpanan file transaksi dalam bentuk html. Khusus untuk file log, sering-seringlah dihapus supaya tidak kecolongan.
Untuk para user, pesan saya cuma sedikit : WASPADALAH!



Attachments: Image 1
Category: HACKER | Views: 1581 | Added by: Pendekar | Tags: | Rating: /
Total comments: 0
Only registered users can add comments.
[ Registration | Login ]
Search

Calendar
«  January 2011  »
SuMoTuWeThFrSa
      1
2345678
9101112131415
16171819202122
23242526272829
3031

Entries archive

Site friends
  • Create a free website

  • Copyright Busi Nekat,corp © 2024