Cukup mudah tapi butuh kesabaran 🙂
Oke langsung saja ikuti langkah-langkahnya :
Sebelumnya, jika sobat menggunakan Windows, harus terinstall Python Trelebih dahulu 😀
Setelah itu, copas script berikut dan save dengan formay .py
Tools Python WordPress BruteForce
Wordlist yang diletakkan satu folder dengan File Python nya.
Untuk wordlist bisa cari sendiri atau pakai punya saya
Wordlists by Nabilaholic404
Setelah itu, tentukan target. Terserah mau acak atau mau pentest web yang sudah ditentukan.
Ketahui dulu user yang digunakan di website tersebut, agar nanti proses bruteforce tidak sia-sia. Untuk mengetahui daftar user di web target bisa kalian scan dengan Flunym0us. Untuk yang belum tau, baca tentang flunym0us di :
Flunym0us, Vulnerability Scanner for WordPress and Moodle
Sebagai bahan tutorial, target saya adalah http://www.adriannecurry.org/
Setelah di cek dengan Flunym0us, user dari web tersebut adalah “adamjohn” . Jadi saat melakukan bruteforce user yang kita masukkan adalah “adamjohn”
Oke, langsung saja ke step yang pertama.
nb : saya meletakkan file python nya di C:toolswpbf.py
Buka CMD
Ketik cdtools
lalu ketik command berikut :
[namafile].py -h http://[situstarget]/wp-login.php -u [username -P [wordlist].txt
Contoh :
wpbf.py -h http://www.adriannecurry.org/wp-login.php -u adamjohn -P akicha.txt
Tunggu proses bruteforce selesai. kadang lama, kadang cepet, kadang gagal . Berdoa saja :v
Nah, tuh udah finish ! :v
Username : adamjohn
Password : michael123
Kita coba login di webnya :
http://www.adriannecurry.org/wp-login.php
Dan dorrrr !! Welcome to Admin Page :p
Kalo sudah seperti itu ja terserah mau diapan :p
kalo lagi iseng ya pasang shell, hajar index nya :v
http://www.adriannecurry.org owned :p
Mirror
Berikut tutorial upload shell di wordpress :
Cara Upload Shell di WordPress Lewat Theme Editor
Tutorial Upload Shell di WordPress via Plugins Editor
Addib says
Copas IndoCyber Army !
Anonim says
Yang bilang copas goblok. Ini blog nya bang yuyud. Terus yang share di IDCA juga bang yuyud. Liat tanggal post nya tolol !
Fauzan says
test
IDIOT M00N5 says
gak bisa di pake di windows ?
Zekkel AR says
OLD ANJING
Fhb says
alert(‘INI NAMANYA ALERT’)
Faaxd says
Pake ini gan buat cari tau username wp nya
/wp-json/wp/v2/users
*Example
target.com/wp-json/wp/v2/user’s
*Kalo muncul kyk gini itu username nya:p
[{“id”:1,”name”:”contoh”,”url”