Profile cover photo
Profile photo
Jamz D. Mozac
418 followers -
Nope.Just.Coder
Nope.Just.Coder

418 followers
About
Jamz's interests
View all
Jamz's posts

Post has attachment
DirBuster vs DirScanner nya HTTP Tools. Which Faster?
http://cafelinux.info/technical/dirbuster-vs-dirscanner-nya-http-tools-which-faster

Tentunya sudah gak asing lagi dengan nama DirBuster. Tools ajib bin ciamik buat nyecan direktori ini. Ane pun juga salah satu pengguna DirBuster. Namun perlahan mulai ditinggalkan. Bukan karena ada software yang lebih ajib, tapi lebih karena sering bikin laptop ngehang. T_T

Yarp, laptop ini kalo dipake buat ngejalan program yang based code nya dari Java, bisa dipastikan harus banyak-banyak berdoa biar gak stuck di tengah process. :D

So, dengan modal ketakutan inilah, akhirnya Cafelabs memutuskan buat bikin sendiri tools buat nyecan direktori.

Post has attachment

Post has attachment
WARNING!!! Gunakan tools ini untuk pentesting website anda sendiri.

Yarp, ini bukan tentang vulnerability nya Wordpress tentang Unauthenticated REST API yang udah mulai dingin. Tapi tentang fitur baru HTTP Tools. Kumpulan exploits yang nanti bakalan ada lagi :p

Untuk exploit yang satu ini emang baru sempet ngoding, karena dua dan lain hal. Dan untungnya setelah 2 minggu bugs ini di release, masih ada juga website yang bisa dijadikan bahan oprekan. :p

Kumpulan Exploits di HTTP Tools Versi 2.8.0 - WP 4.7.0/1 Unauthenticated REST API & Source Code Ruby
http://cafelinux.info/cafelabs/kumpulan-exploits-di-http-tools-versi-280-wp-4701-unauthenticated-rest-api-source-code-ruby

Post has attachment
Masih ingat dengan statement di artikel Grab Free Proxy Lists Dari Frontend HideMyAss Tanpa API sebelumnya?

...bahwa nyaris tidak ada interface yang tidak bisa kita grabbing, selama tidak dilindungi oleh advanced captcha, atau delay realtime load content seperti AJAX. Bisa, tapi mungkin kalo gak bikin muntah, minimal bikin kejang-kejang. :p

Nah, kali ini kita akan membahas cara meng-grab konten dihalaman website yang diload menggunakan AJAX. Dan yarp, artikel ini masih seputar grabbing list free proxy untuk aplikasi HTTP Tools.

Tools ajib semacam cURL tidak bisa melakukan hal ini karena eksekusi konten dilakukan di sisi client oleh javascript. Diluar jangkauan curl tentunya. Awalnya kepikiran buat men-delay curl sebelum meload seluruh halaman web, tapi setelah dipikir-pikir lagi, AJAX tidak dieksekusi bersamaan ketika sebuah URL diminta, melainkan AJAX sendiri melakukan HTTP Request sendiri ke sisi server. Berarti cara lainnya adalah, curl harus mengikuti kemana HTTP Request yang dilakukan oleh AJAX.

Ngoding buat mencari otomatis kemana saja HTTP Request yang dilakukan oleh AJAX dari sebuah source code adalah bunuh diri.

Jadi kalo pengen mati perlahan, pake cara berikut ini ja. ^_^

http://cafelinux.info/technical/bot-vs-ajax-scrapping-halaman-website-yang-di-load-dengan-javascript

Post has attachment


Kita gak membahas tentang web proxy loh yak ^_^

Mungkin cara gak sopan ini sangat merepotkan jika kita bisa mendapatkan list IP Proxy secara gratis dari interface website Hide My Ass dengan segala opsi pilihan yang sangat memudahkan. Tapi cara ini akan sangat bermanfaat saat kita membutuhkan free proxy untuk kebutuhan server yang processnya berjalan di belakang layar. :)

Dan cara ini akan dua kali lebih merepotkan jika ternyata ada cara yang lebih mudah :D

Tapi terlepas dari quote diatas, dengan menerapkan konsep grabbing di artikel ini, berarti setidaknya kita belajar satu hal, bahwa nyaris tidak ada interface yang tidak bisa kita grabbing, selama tidak dilindungi oleh advanced captcha, atau delay realtime load content seperti AJAX. Bisa, tapi mungkin kalo gak bikin muntah, minimal bikin kejang-kejang. :p

Baiklah, terlepas lagi dari penjelasan ultra rumit diatas, dibawah ini akan kita jelaskan terlebih dahulu kenapa artikel ini perlu ditulis. :)

Kisah nyata ini adalah ketika tools HTTP Tools perlu berjalan dibalik proxy saat akan melakukan request dari fitur "curl", "dirscanner" atau "sqlmap" yang bisa disalah gunakan. Karena free proxy bisa down setiap saat (bahkan bisa dalam hitungan menit), jadi kita punya 2 opsi. Pertama, selalu melakukan update IP Proxy atau opsi kedua, berlangganan service berbayar biar bisa dapet API sesuai kebutuhan.

Opsi kedua tidak mungkin, karena selain HTTP Tools adalah aplikasi gratis dan tidak memiliki income, dianggaran belanja bulanan rumah tangga gak ada budget buat bayar langganan Premium ini. :p Yarp, berarti opsi pertama lah yang terpaksa kita ambil. Dan disinilah masalah dimulai...

Beberapa server proxy seperti http://freeproxylists.net/ akan menampilkan advanced captcha nya Google jika kita sudah melakukan request berulang, apalagi jika request yang kita kirim tidak menyertakan meta standar browser (seperti useragent, referer) jika menggunakan default "curl" atau apalagi fungsi instant seperti "file_get_contents()" ala PHP. :p
Beberapa server penyedia API proxy juga ternyata 'meng-grab' list nya dari server proxy lain. Berarti mending grab sendiri kan?
Beberapa server lainnya menawarkan list yang terlalu sedikit pilihan.

Dan akhirnya pilihan pun jatuh pada website HideMyAss, karena pilihan server paling banyak dan beragam. Hanya saja sepertinya layout HTML list proxy yang ditampilkan tak seindah CSS nya. T_T
http://cafelinux.info/technical/grab-free-proxy-lists-dari-frontend-hidemyass-tanpa-api


Post has attachment
Request buat nambahin tombol exit di aplikasi HTTP Tools neh udah dari versi 1. Tiap mau diperbaiki lupa terus. Terlalu semangat update fitur. Dan ternyata masalah tombol exit ini berlaku juga di semua aplikasi Cafelabs. Diagnosa dilakukan di aplikasi HTTP Tools, tapi belum diterapkan ke semua aplikasi Cafelabs. Nanti satu per satu diupdate. :)

Yuk langsung pada diperbarui aplikasi HTTP Toolsnya, biar bisa keluar dari aplikasi trus di uninstall :D

Happy Exit! ^_^

http://cafelinux.info/cafelabs/update-http-tools-versi-265-back-button-to-exit-dan-update-notifier

Post has attachment
Setelah kejadian hackednya server HTTP Tools pada artikel sebelumnya HTTP Tools Has Been Hacked! , gara-gara bugs pada PHP, dan setelah di patch, malamnya ni server hacked lagi. Dan kali ini exploitasi dilakukan dari aplikasi sqlmapnya dengan memanfaatkan sintaks dari python.
./sqlmap u tes.com - eval="__import__('os').system('cat</etc/passwd')"

Bugs ini ditemukan oleh Ida Bagus Budanthara dan telah di patch.

Belajar dari pengalaman diatas, fitur terbaru DirScanner tidak lagi menggunakan aplikasi pihak ke-3, tapi hard coded from scratch. Pada artikel berikutnya akan kita bahas tentang DirScanner, serta source codenya yang aku buat menggunakan Ruby. Dan pada benchmarknya, DirScanner lebih cepat daripada DirBuster serta penggunaan Memory yang lebih hemat.

Directory Scanner Hadir di HTTP Tools Versi 2.6.0 http://cafelinux.info/cafelabs/directory-scanner-hadir-di-http-tools-versi-260

Post has attachment
njir, ane terharu liat hacker kayak gini. T_T
http://cafelinux.info/cafelabs/http-tools-has-been-hacked

Post has attachment
Dari Bapak untuk Anak. Dari Impor hingga Ekuador.
Apteronotus Albifrons Versus Culex Quinquefasciatus http://cafelinux.info/blog/apteronotus-albifrons-versus-culex-quinquefasciatus

Post has attachment
Wait while more posts are being loaded