[Write UP] Reflected XSS Pada www.kaskus.co.id

Kaskus adalah situs forum komunitas maya Indonesia dan penggunanya disebut dengan Kaskuser. Kaskus dikelola oleh PT Darta Media Indonesia. Umumnya, pengguna Kaskus berasal dari kalangan remaja hingga orang dewasa yang berdomisili di Indonesia maupun di luar Indonesia. Kaskus ini mengadakan program bug bounty yang dimana ketika seseorang menemukan suatu bug dan melaporkan kepada pihak Kaskus, dan jika bug yang ditemukan valid, maka akan di berikan apresiasi yaitu mencantumkan nama mereka pada situs Kaskus (Hall of Fame).

Pada kesempatan ini saya menulis write up mengenai temuan bug pada situs www.kaskus.co.id, bug yang saya temukan tersebut adalah XSS. XSS merupakan kode HTML atau Client Script yang diinjeksikan penyerang pada suatu website. Akibatnya penyerang dapat melewati keamanan di sisi klien, mendapatkan informasi sensitif, dan bahkan menyisipkan aplikasi berbahaya.

Proof Of Concept (POC) :

1. Saya mengunjungi www.kaskus.co.id

 
2. Ke profil saya dan klik forum post

3. URL berubah menjadi https://www.kaskus.co.id/@rafsanzani99/viewallposts/

4. Saya melakukan melihat source code tersebut dan melihat terdapat input hidden `thread_id` & `count`

5. Memasukan tanda (") pada parameter `thread_id`

URL : https://www.kaskus.co.id/@rafsanzani99/viewallposts/1/?thread_id=5d03425368cc9536bd32cb7c"&count=1

6. Ketika melihat source code lagi ternyata ada yang error.

7. Mencoba memasukan payload XSS

Payload : " onclick=alert(location.host) zerobyteid="

8. Ketika saya mengklik `Urutan : Terlama / Terbaru` maka XSS tertrigger.

Berikut ini video Proof Of Concept (POC).

 

Bagi kalian yang menemukan bug pada website kaskus maka segeralah laporkan kepada pihak kaskus.

Read more : https://bantuan.kaskus.co.id/hc/id/articles/360026355992-Hall-of-Fame

Demikian write up mengenai temuan xss pada website kaskus.co.id

[Belajar] BASH Script #1: Untuk Pemula

Logo bash script

Belajar BASH Script #1:
1. Perkenalan
2. Basic: Print "Stdout"
3. Basic: Variable

1. Perkenalan

Apa itu BASH Script?
BASH Script adalah sebuah skrip yang mengkompilasi command-command di dalam shell dan biasa digunakan di dalam Linux Shell. BASH sendiri adalah singkatan dari "Bourne Again Shell" yaitu perkembangan dari "Bourne Shell (.sh)". Pemrograman bash shell itu sendiri adalah pemrograman kumpulan perintah menggunakan script yang ditulis ke dalam bash shell, sehingga nantinya dapat dieksekusi oleh sistem operasi. Selain bash shell, ada banyak shell lainnya yang bisa digunakan untuk programming, namun penggunaan bash lebih fleksibel karena script yang ditulis lebih kompatibel untuk dibaca dari mesin yang berbeda, distro linux yang berbeda , atau bahkan sistem operasi yang berbeda. Pemrograman menggunakan shell terutama bash shell berkembang terus sampai sekarang karena penggunaannya di kalangan system administrator sangat dibutuhkan.

2. Print "Stdout"

#!/bin/bash
echo "Hello Dweeb!";

Pada Script di atas, bila dijalankan kita maka akan mengeluarkan output sebuah kata `Hello Dweeb!`.

3. Basic: Variable

#!/bin/bash
aku=Suhada;
echo "Hello nama saya $aku";

Pada Script di atas, variable dibuat dengan nama `aku` yang isi variable tersebut adalah `Suhada` jika ingin memanggil variable tersebut menggunakan `$` dan nama variable. Script diatas bila dijalankan maka akan mengeluarkan output `Hello nama saya Suhada`.

Sekian penjelasan dasar untuk mengenal BASH Script #1

Apa itu CTF (Capture The Flag) ?

Capture the flag

CTF adalah sebuah ajang untuk menunjukan skill HACKING. Biasanya CTF ini dilakukan oleh orang-orang yang sudah ahli di bidang nya. CTF ini adalah tempat untuk menemukan vulnerability dari sebuah aplikasi terbaru. Biasanya CTF ini mengadaptasi dari beberapa soal yang ada di dunia nyata,soal exploit terbaru. Sebagian orang menyatakan tidak suka CTF karena soalnya mengada-ada. Sebagian soal CTF memang sangat buruk dan sangat jauh dari dunia nyata, beberapa CTF sangat baik, dan kebanyakan CTF berada di tengah-tengah. Biasanya soal CTF akan dicampur antara yang berlaku di dunia nyata (kadang disederhanakan) dan soal sederhana untuk pemula.

Manfaat : 

Manfaat dari CTF adalah untuk menguji dan melatih kemampuan dalam bidang teknologi informasi seperti jaringan dan pemrograman. Kemampuan dan ilmu yang anda miliki selama anda terjun di bidang IT dapat anda praktekkan di soal – soal yang diberikan pada kompetisi ini. Pada kompetisi ini, anda juga dapat menambah ilmu pengetahuan. Yang dimaksudkan disini adalah jika ada soal yang anda tidak dapatkan jawabannya, nantinya akan ada write-up atau laporan cara penyelesaian soal – soal kompetisi dari team yang telah berhasil memyelesaikan soal tersebut. Selain itu, di beberapa event CTF yang diselenggarakan, terdapat juga hadiah berupa uang maupun hal-hal lain seperti sertifikat, peralatan elektronik, dan lain – lain bagi pemenang dalam event tersebut.


Kategori Lomba :

WEB
Pada soal ini peserta CTF akan diberikan sebuah web yang telah diberikan celah oleh panitia. Para peserta CTF akan mencari celah yang telah diberikan oleh panitia, jika mendapatkan celahnya nanti akan muncul sebuah string yang nantinya menjadi sebuah flag.

Digital Forensic
Pada soal ini peserta CTF akan diberikan sebuah file yang nantinya para peserta akan mencari flag yang terdapat pada soal yang telah diberikan oleh panitia dengan cara apapun agar mendapatkan flagnya.

Steganography
Steganography atau biasanya disebut stego merupakan sebuah soal yang biasanya berbentuk gambar yang di dalam gambar terserbut telah ditambahkan flag yang harus dicari.

Cryptography
Cryptography atau biasa disebut crypto merupakan sebuah soal yang berisi pesan yang telah dienkripsi sehingga pesan tersebut sulit dibaca. Untuk dapat membaca pesan tersebut peserta harus mencari decryptor yang digunakan untuk dekripsi pesan yang telah dienkripsi. Setelah pesan dapat dibaca akan ditemukan sebuah flag pada pesan itu.

Reverse Engineering
Pada Reverse Engineering atau biasa disebut reverse, peserta CTF akan diberikan file executable yang harus dijalankan dimana pada saat dijalankan program tersebut meminta sebuah kunci yang berupa string, tetapi peserta tidak akan diberikan sebuah kunci melainkan peserta harus mencari kunci tersebut pada executable dengan cara debugging.

Joy
Pada soal ini biasanya para peserta CTF akan mendapatkan soal berupa game. Hampir sama dengan reverse peserta akan mencari sebuah cara untuk menyelesaikan soalnya, tetapi cara yang digunakan berbeda-beda tergantung soalnya.

Auto Spam Chat Pada Web Whatsapp

Logo whatsapp

Auto spam chat web whatsapp dengan javascript. Untuk kalian yang suka iseng ke teman atau kePACAR karna balesnya lama 😆 kalian dapat menggunakan script JavaScript ini untuk spam mereka. Bagaimanakah menggunakannya ? Menggunakannya cukuplah mudah kalian hanya masukan script ke consloe.

1. Klik kanan => Inspect Elements
2. Klik menu Console dan masukan Script JavaScript

Example auto spam

Untuk script kalian bisa dapatkan di pastebin alinko => https://pastebin.com/FkiRJda5

Perintah Perintah Dasar Editor VIM

Logo VIM

Vim adalah program komputer yang dipakai untuk menulis teks (text editor/editor teks) sama seperti program-program di atas. Vim merupakan singkatan dari Vi iMproved yang dirilis pertama kali tahun 1991.

Perintah Edit file Editor VI
 vi : Masuk ke editor vi tanpa membuka/membuat file apapun.
 vi [namafile] : Membuka file pada bari pertama
 vi+n [namafile]  : Membuka file pada baris ke – n
 vi + [namafile]  : Membuka file pada baris terakhir
 vi [namafile1] & [namafile2] : Membaca bebrapa file sekaligus

Perintah Keluar dari Editor VI

* Perintah di bawah di awali dengan menekan esc
 :w : Menyinpam file tanpa keluar
 :w! : Menyinpam file tanpa keluar
 :q : Keluar dari editor vi tanpa menyimpan
 :q! : Keluar dari editor vi tanpa menyimpan
 :wq : Menyimpan file dan keluar

Perintah untuk menulis text (inserting text)

 i : Menulis text (Lanjutkan text)
 o : Menulis text (Baris Baru)
 a : Menulis text

Perintah mengapus text
 x : Menghapus text
 dd : Menghapus text berbaris

Perintah untuk undo
 u : Undo text dengan 1 per 1
 uu : Undo text berbaris

Perintah cursor
 h : cursor kiri
 j : Cursor bawah
 k : Cursor atas
 l : Cursor kanan

Apa itu FHS (Filesystem Hierarchy Standard) ?

Struktur FHS

FHS adalah Sebuah struktur atau tata letak untuk menempatkan file atau direktori pada system operasi LINUX yang mirip UNIX. FHS juga menjadi acuan atau pedoman standar direktori dalam meracik distribusi LINUX yang operasional.

Dibawah ini adalah penjelasan dari masing – masing direktori pada gambar diatas :

1. /bin/ : direktori yang berisi file-file binary standar yang dapat digunakan oleh seluruh user baik user biasa maupun super user (perintah dasar dalam linux).

2. /boot/ : direktori yang berisi file-file untuk booting Linux.

3. /dev/ : direktori yang berisi file system khusus yang merupakan refleksi device hard-ware yang dikenali dan digunakan sistem seperti Hard Disk, Floppy Disk, Flash Disk, dll.

4. /etc/ : direktori yang berisi file-file konfigurasi sistem, dan hanya boleh diubah oleh super user.

5. /home/ : direktori yang berisi yang merupakan direktori home untuk semua user.

6. /lib/ : direktori yang berisi file-file library yang digunakan untuk mendukung kerja kernel Linux.

7. /media/ : direktori point pengaitan pada media yang dapat dibongkar pasang.

8. /mnt/ : merupakan direktori khusus yang disediakan untuk mounting (mengaitkan) device disk
storage ke sistem dalam bentuk direktori.

9. /opt/ : Berisi paket aplikasi tambahan(add-on), biasanya berupa aplikasi biner/propietar.

10. /sbin/ : direktori yang sama seperti direktori /bin, tetapi hanya super user yang se-baiknya menggunakan binary- binary tersebut mengingat fungsi-fungsi binary yang terdapat di direktori ini untuk maintenance system.

11. /srv/ : direktori yang berisi data untuk semua layanan system yang bersangkutan.

12. /tmp/ : berisi file-file sementara yang dibutuhkan sebuah aplikasi yang sedang berjalan.

13. /usr/ : direktori yang berisi library, binary, dokumentasi dan file lainnya hasil instalasi user.

14. /var/ : direktori yang berisi file-file log, mailbox dan data-data aplikasi

15. /root/ : direktori home untuk user root (user khusus dengan priviledges hampir tak terbatas.

16. /proc/ : berisi file system khusus yang menunjukkan data-data kernel setiap saat.


FHS diatas ini berlaku untuk semua distro Linux (Ubuntu, Red Hat, Fedora, etc.).