11

4.2 Proses Scanning Brute Force Attack dengan WPscan

Setelah proses pembuatan wordlist selesai langkah selanjutnya yang akan dilakukan yaitu melakukan serangan brute force, simulasi kali ini akan menggunakan aplikasi scanning dari kali linux backtrack yaitu Wpscan, Wpscan adalah scanner keamanan yang memeriksa keamanan sebuah website terutama WordPress, menggunakan metode “black box”. Fitur utama dari aplikasi ini yaitu melakukan scanning penacahan username, multithreaded password bruteforcing, pencacahan versi plugin pada wordpress, dan pencacahan kerentanan pada sistem. Pada gambar di bawah ini pertama kali yang akan dilakukan yaitu menemukan user apa saja yang ada pada website tersebut yaitu dapat dengan menggunakan perintah atau script seperti dibawah ini : Gambar 11 Perintah untuk melakukan serangan pencarian username pada website skripsi.com Script diatas akan menghasilkan proses scanning pada wpscan , proses pencarian user akan secara otomatis dilakukan pada wordpress yang dituju yaitu pada website www.skripsi.com , didalam proses kali ini hacker berhasil menemukan 2 user yang mempunyai hak akses yang pertama login sebagai username admin, dan yang kedua login sebagai username ganep . Gambar 12 Hasil Serangan dengan menggunakan aplikasi Wpscan unuk pencarian username. Setelah mendapatkan username yang aktif pada website www.skripsi.com langkah selanjutnya yaitu dengan memanfaatkan username rootkali:~ wpscan --url http:www.skripsi.com enumerate u 12 yang sudah didapatkan, selanjutmya peretas akan melakukan serangan bruteforce, untuk melakukan pencarian password yang ada pada username yang sudah ditemukan ,sebagai simulai hacker akan melakukan scanning untuk mendapatkan password dari usename admin, untuk melakukan scanning password, script yang dapat digunakan yaitu sebagai berikut: Gambar 13 Perintah untuk melakukan bruteforcing password pada username admin . Gambar 14 Proses pencarian password bruteforcing sedang berlangsung. Proses scanning pencarian password seperti gambar diatas sedang berlangsung , secara otomatis aplikasi Wpscan melakukan serangan dengan scanning dan bruteforcing password yang dimiliki username admin dengan cara mengkombinasikan semua kemugkinan angka dan huruf yang ada dalam wordlist yang sudah dibuat , proses ini membutuhkan waktu yang disesuaikan dengan tingkat kerumitan password yang ada dan juga berpengaruh besar pada kemampuan processor komputer yang digunakan oleh penyerang atau hacker . rootkali:~ wpscan --url http:www.skripsi.com -worldlist rootDesktoppasspasslist.txt username admin 13 Gambar 15 Proses pencarian berhasil menemukan password dari username admin. Setelah proses sudah selesai seperti gambar di atas, proses scanning menunjukan bruteforcing berhasil dan didapatkan untuk username admin menggunakan password admin12345. untuk membuktikan apakah passwod yang didapat benar sesuai dengan password aslinya, hacker bisa mencoba memasukkan username dan password kedalam home login pada website www.skripsi.com untuk kemudian masuk kedalam wp-loginnya dan bisa masuk ke dashboard, dapat dilihat seperti gambar di bawah . 14 Gambar 16 User dan password dimasukan kedalam home login website Gambar 17 Login berhasil masuk kedalam dashoard 15 Pada gambar diatas menunjukkan bahwa username dan password yang didapatkan setelah melakukan bruteforcing berhasil menyusup kedalam website www.skripsi.com, karena setelah melakukan uji coba username dan password yang dimasukkan ke dalam home login dan bisa masuk kedalam dashboard kemudian selanjutnya hacker bisa dengan leluasa melakukan proses hacking terhadap website tersebut .

4.3 Proses Scanning dengan Modifikasi Sql Injection