
Latar Belakang
WPScan merupakan tools vulnerability scanner untuk CMS WordPress yang ditulis dengan menggunakan bahasa pemrograman ruby, WPScan mampu mendeteksi kerentanan umum serta daftar semua plugin dan themes yang digunakan oleh sebuah website yang menggunakan CMS WordPress.
Pada artikel ini, saya menggunakan fitur bruteforce yang ada di tools WPScan dan mempelajari cara kerja brutefoce dalam mencocokan antara password sample dengan password sesungguhnya yang terdapat pada table user login.
Instalasi WPScan
Tahap Persiapan :
- sudo apt update
- sudo apt upgrade
- sudo apt install curl git libcurl4-openssl-dev make zlib1g-dev gawk g++ gcc libreadline6-dev libssl-dev libyaml-dev libsqlite3-dev sqlite3 autoconf libgdbm-dev libncurses5-dev automake libtool bison pkg-config ruby ruby-bundler ruby-dev -y
Install Melalui Gem :
- gem install wpscan
- gem uninstall wpscan
Install Melalui Git :
Wordlist
Setelah selesai instalasi, kita download file .txt yang bersisi password sample (wordlist) yang digunakan dalam proses bruteforce. Download file wordlist dengan nama rockyou.txt (Ukuran File : 140MB Jumlah Data : Sekitar 11Juta sample password). Namun jika saya langsung menggunakan data ini pasti akan lama proses pencocokan passwordnya.
Sehingga untuk percobaan ini, saya hanya menggunakan wordlist dummy yang saya buat dengan nama simplewordlist.txt (ukuran file : 126 byte Jumlah Data : 15 sample password) dimana didalamnya saya sisipkan password yang sesungguhnya dari login admin wordpress.
Testing WPScan
Sebelumnya saya install wordpress di localhost saya. Sehingga saya tidak menggunakan website orang lain.
Ketik perintah pertama untuk mengetahui username loginnya. Perintah kedua untuk membandingkan password yang ada di table user login dengan sample password yang ada di file wordlist.
- wpscan –url http://localhost/wordpress –enumerate u
- wpscan –url http://localhost/wordpress -P ‘/home/kangagus/Downloads/simplewordlist.txt’ -U Admin
Serangan Bruteforce
Brute Force adalah serangan yang dilakukan untuk membobol password dengan cara mencoba setiap password sampai akhirnya menemukan password yang tepat. Peretas akan menggunakan algoritma yang menggabungkan huruf, angka dan simbol untuk menghasilkan password untuk serangan tersebut. Seperti mencoba menggunakan kata “password” yang ditulis dan dikombinasikan dengan simbol sehingga menjadi “p@$$word”.
Pada umumnya para peretas memiliki wordlist dalam jumlah yang banyak untuk menebak kemungkinan password. Serangan ini dapat memakan waktu beberapa menit, beberapa bulan, atau bahkan beberapa tahun tergantung dari seberapa kuat password yang digunakan oleh target sasaran.
Oleh karena itu, biasanya hacker melakukan serangan ini dengan bantuan sebuah tools pintar untuk mengatur wordlist dan secara otomatis menebak kata sandi pengguna.
Sebaiknya saat membuat sebuah password, minimal menggunakan 8 digit dengan kombinasi : huruf besar dan kecil, angka, karakter khusus. Agar memastikan bahwa kombinasi password kita buat tidak ada yang cocok dengan contoh password contoh yang terdapat di file wordlist.
Tampilan Output

Login dengan username dan password sebenarnya

Contoh Password yang ada di wordlist

Untuk Menampilkan Username

Untuk mencocokan password sebenarnya dengan password contoh
Sekian artikel dari saya, semoga bermanfaat untuk teman-teman dan Anda semua…aamiin
Bogor, 01-09-2020
KangAgus
Like this:
Like Loading...
Filed under: Sistem | Tagged: algoritma, aplikasi, Brute, cara, force, menggunakan, pada, Tools, WPScan | Leave a comment »