Cukup mudah tapi butuh kesabaran 🙂
Oke langsung saja ikuti langkah-langkahnya :
Sebelumnya, jika sobat menggunakan Windows, harus terinstall Python Trelebih dahulu 😀
Setelah itu, copas script berikut dan save dengan formay .py
Tools Python WordPress BruteForce
Wordlist yang diletakkan satu folder dengan File Python nya.
Untuk wordlist bisa cari sendiri atau pakai punya saya
Wordlists by Nabilaholic404
Setelah itu, tentukan target. Terserah mau acak atau mau pentest web yang sudah ditentukan.
Ketahui dulu user yang digunakan di website tersebut, agar nanti proses bruteforce tidak sia-sia. Untuk mengetahui daftar user di web target bisa kalian scan dengan Flunym0us. Untuk yang belum tau, baca tentang flunym0us di :
Flunym0us, Vulnerability Scanner for WordPress and Moodle
Sebagai bahan tutorial, target saya adalah http://www.adriannecurry.org/
Setelah di cek dengan Flunym0us, user dari web tersebut adalah “adamjohn” . Jadi saat melakukan bruteforce user yang kita masukkan adalah “adamjohn”
Oke, langsung saja ke step yang pertama.
nb : saya meletakkan file python nya di C:toolswpbf.py
Buka CMD
Ketik cdtools
lalu ketik command berikut :
[namafile].py -h http://[situstarget]/wp-login.php -u [username -P [wordlist].txt
Contoh :
wpbf.py -h http://www.adriannecurry.org/wp-login.php -u adamjohn -P akicha.txt
Tunggu proses bruteforce selesai. kadang lama, kadang cepet, kadang gagal . Berdoa saja :v
Nah, tuh udah finish ! :v
Username : adamjohn
Password : michael123
Kita coba login di webnya :
http://www.adriannecurry.org/wp-login.php
Dan dorrrr !! Welcome to Admin Page :p
Kalo sudah seperti itu ja terserah mau diapan :p
kalo lagi iseng ya pasang shell, hajar index nya :v
http://www.adriannecurry.org owned :p
Mirror
Berikut tutorial upload shell di wordpress :
Cara Upload Shell di WordPress Lewat Theme Editor
Tutorial Upload Shell di WordPress via Plugins Editor




Copas IndoCyber Army !
Yang bilang copas goblok. Ini blog nya bang yuyud. Terus yang share di IDCA juga bang yuyud. Liat tanggal post nya tolol !
test
gak bisa di pake di windows ?
OLD ANJING
alert(‘INI NAMANYA ALERT’)
Pake ini gan buat cari tau username wp nya
/wp-json/wp/v2/users
*Example
target.com/wp-json/wp/v2/user’s
*Kalo muncul kyk gini itu username nya:p
[{“id”:1,”name”:”contoh”,”url”
gg domainnya masih hidup, ownernya masih hidup kah