11
4.2 Proses Scanning Brute Force Attack dengan WPscan
Setelah proses pembuatan wordlist selesai langkah selanjutnya yang akan dilakukan yaitu melakukan serangan brute force, simulasi kali ini akan
menggunakan aplikasi scanning dari kali linux backtrack yaitu Wpscan, Wpscan adalah scanner keamanan yang memeriksa keamanan sebuah website terutama
WordPress, menggunakan metode “black box”. Fitur utama dari aplikasi ini yaitu melakukan scanning penacahan username, multithreaded password bruteforcing,
pencacahan versi plugin pada wordpress, dan pencacahan kerentanan pada sistem.
Pada gambar di bawah ini pertama kali yang akan dilakukan yaitu menemukan user apa saja yang ada pada website tersebut yaitu dapat dengan menggunakan
perintah atau script seperti dibawah ini :
Gambar 11 Perintah untuk melakukan serangan pencarian username pada website skripsi.com
Script diatas akan menghasilkan proses scanning pada wpscan , proses pencarian user akan secara otomatis dilakukan pada wordpress yang dituju yaitu
pada website www.skripsi.com , didalam proses kali ini hacker berhasil menemukan 2 user yang mempunyai hak akses yang pertama login sebagai
username admin, dan yang kedua login sebagai username ganep .
Gambar 12 Hasil Serangan dengan menggunakan aplikasi Wpscan unuk pencarian username.
Setelah mendapatkan
username yang
aktif pada
website www.skripsi.com langkah selanjutnya yaitu dengan memanfaatkan username
rootkali:~ wpscan --url http:www.skripsi.com enumerate u
12 yang sudah didapatkan, selanjutmya peretas akan melakukan serangan bruteforce,
untuk melakukan pencarian password yang ada pada username yang sudah ditemukan ,sebagai simulai hacker akan melakukan scanning untuk mendapatkan
password dari usename admin, untuk melakukan scanning password, script yang dapat digunakan yaitu sebagai berikut:
Gambar 13 Perintah untuk melakukan bruteforcing password pada username admin .
Gambar 14 Proses pencarian password bruteforcing sedang berlangsung.
Proses scanning pencarian password seperti gambar diatas sedang berlangsung , secara otomatis aplikasi Wpscan melakukan serangan dengan
scanning dan bruteforcing password yang dimiliki username admin dengan cara mengkombinasikan semua kemugkinan angka dan huruf yang ada dalam wordlist
yang sudah dibuat , proses ini membutuhkan waktu yang disesuaikan dengan tingkat kerumitan password yang ada dan juga berpengaruh besar pada
kemampuan processor komputer yang digunakan oleh penyerang atau hacker .
rootkali:~ wpscan --url http:www.skripsi.com -worldlist
rootDesktoppasspasslist.txt username admin
13
Gambar 15 Proses pencarian berhasil menemukan password dari username admin.
Setelah proses sudah selesai seperti gambar di atas, proses scanning menunjukan bruteforcing berhasil dan didapatkan untuk username admin
menggunakan password admin12345. untuk membuktikan apakah passwod yang didapat benar sesuai dengan password aslinya, hacker bisa mencoba memasukkan
username dan password kedalam home login pada website www.skripsi.com untuk kemudian masuk kedalam wp-loginnya dan bisa masuk ke dashboard, dapat
dilihat seperti gambar di bawah .
14
Gambar 16 User dan password dimasukan kedalam home login website
Gambar 17 Login berhasil masuk kedalam dashoard
15 Pada gambar diatas menunjukkan bahwa username dan password yang
didapatkan setelah melakukan bruteforcing berhasil menyusup kedalam website www.skripsi.com, karena setelah melakukan uji coba username dan password
yang dimasukkan ke dalam home login dan bisa masuk kedalam dashboard kemudian selanjutnya hacker bisa dengan leluasa melakukan proses hacking
terhadap website tersebut .
4.3 Proses Scanning dengan Modifikasi Sql Injection