Lompat ke konten Lompat ke sidebar Lompat ke footer

Widget Atas Posting

Tutorial deafce poc Wpbf dengan tools wp xmlrpc Bruteforce

 

Gambar Deface poc Wpbf



Halo sobat tamatekno, setelah setahun lebih saya belajar tentang heking website saya akan membagikan pengetahuan saya disini.


Sebenarnya banyak sekali cara untuk hek website, ada yang masuk dalam kategori mudah dan ada juga yang masuk dalam kategori sulit. Perlu sobat ketahui, melakukan heking terhadap website itu sangatlah mudah, namun yang sulit itu menemukan bug atau website yang vuln(memiliki kelemahan). Banyak sekali kelemahan-kelemahan yang terdapat pada suatu website, namun semuanya bisa diamankan oleh pemilik, admin, atau IT sec website tersebut. Karena saking banyaknya kelemahan yang terdapat pada website terkadang tidak semuanya bisa diamankan, hal tersebut biasanya dimanfaatkan oleh hekel untuk menyerang website tersebut.


Salah satu kelemahan yang sering dimanfaatkan oleh hekel adalah Wordpress Bruteforce, Karena kelemahan ini adalah kelemahan paling mudah dicari.


Tutorial Deafce poc Wpbf use tools WP xmlrpc Bruteforce


Jika sobat sudah paham mengenai dunia perhekelan pasti sobat paham tentang Deafce. Deface adalah sebuah script yang digunakan untuk meninggalkan jejak pada website yang sudah dihek oleh etekel tersebut, script deface juga bisa digunakan untuk mengubah tampilan website. Dari beberapa jenis hekel defacer lah yang paling banyak ditemui.


Nah buat sobat yang ingin mencoba untuk melakukan deface pada suatu website, sobat dapat melakukan heking terhadap website tersebut menggunakan WPBF terlebih dahulu. Berikut adalah tutorialnya.


Alat dan bahan 


Pertama-tama silahkan sobat download alat dan bahannya terlebih dahulu, berikut adalah alat dan bahan yang diperlukan:

- Tools WP Xmlrpc Bruteforce : Click Me

- Windscribe VPN (optional) : Click Me

- Tools Zone H grabber : Click Me

- Password List : Click Me

- Shell Backdoor (Jika Belum Punya : Click Me

- Script Deface (Jika Belum Punya) : Click Me


Praktek Wpbf langsung


Oke jika alat dan bahan semuanya sudah sobat siapkan, mari kita lanjutkan ke step selanjutnya. 


Silahkan sobat buka browser dan buka website zone-h.org, lalu masuk ke menu archieve. Verivikasi captcha nya terlebih dahulu agar bisa dibuka.


Copy salah satu nickname etekel, caranya tinggal Block namanya dan tekan ctrl+C


Jika sudah silahkan buka tools Zone H grabber yang sudah sobat download tadi, kemudian paste kan nickname etekel yang sudah sobat copy tadi.


Jika sudah tekan tombol start, tunggu sampai muncul pop up done. 


Lakukan hal tersebut sebanyak mungkin, sebagai contoh admin mengambil 7ribu daftar situs. 


Kemudian klik salah satu nama domain, lalu pilih domain (bukan IP) untuk menyimpan daftar situs tersebut. 


Beri nama dan simpan satu folder dengan tools Wpbf.


Jika sudah tersimpan sobat buka tools Wpbf nya, lalu klik tombol load sites list.


Kemudian cari file hasil Zone H grabber tadi, klik dan tekan Open.


Lalu klik tombol load password list, cari file password list yang sudah anda download tadi. Klik file tersebut dan tekan Open.


Jika sudah silahkan tekan tombol start Bruteforce, tunggu sampai proses Bruteforcenya selesai. 


Jika ada yang berhasil maka akan muncul di bagian layar tools tersebut, dan otomatis tersimpan satu folder dengan tools Wpbf nya. Filter tersebut bernama good.txt.


Nah di dalam good list tersebut akan muncul url wp-login, username, dan passwordnya. Contoh : situs.co.li/[email protected]#pass, situs.co.li adalah domainya, wp-login.php adalah url login websitenya, admin adalah usernsmnya, dan pass adalah passwordnya. @admin dan #pass berbeda-beda, menyesuaikan dengan situs tersebut (username situs tersebut apa, dan passwordnya apa).


Saya asumsikan sobat sudah mendapatkan list good account, dan sekarang kita akan mencobanya.


Silahkan buka satu persatu daftar situs nya,contoh : wsfcollective.com/[email protected]#123456

Masukkan username ahmad dan password 123456, lalu tekan login.


Jika berhasil maka anda akan masuk ke dashboard atau Wp-admin website tersebut.


Nah langkah selanjutnya adalah mengupload Shell Backdoor. 


Untuk meng-upload shell Backdoor silahkan anda buka ke menu tampilan>theme editor. Kemudian pilih salah satu theme, misalnya theme twentynineteen. Cari file 404 PHP dan edit file tersebut dan masukan Script Shell Backdoor yang sudah anda download tadi, lalu klik simpan perubahan. Jika berhasil akan muncul tulisan update berhasil.


Dan untuk mengakses Shell Backdoor nya anda dapat menggunakan url seperti ini. Contoh : wsfcollective.com/wp-content/themes/twentynineteen/404.php


Maka shell Backdoor anda akan terbuka.


Nah untuk melakukan deface silahkan masuk ke direktori root website tersebut, lalu klik tombol mass Deface. Beri nama file Deface misalnya z.htm, z.html, atau z.php. Kemudian salin Script Deface yang sudah sobat download tadi, lalu pastekan di form mass Deface tadi. Lalu tekan tombol mass Deface, jika muncul Deface berhasil maka anda sudah dapat mengakses Script Deface anda.


Untuk mengakses Script Deface masukan url seperti ini, situs.co.li/z.htm atau sebagai contoh wsfcollective.com/z.htm.


Maka Script Deface sobat berhasil terbuka, misalnya heked by, defaced by, dll sesuai Script Deface sobat.


Gimana sob? Udah bisa belum nih? Atau masih bingung? Jangan bingung-bingung sob, ini termasuk yang paling mudah kok. Jika anda teliti dan memperhatikan step-by-step dengan baik dan benar pasti akan berhasil. Untuk gambar menyusul dan mipil ya sob, Mimin banyak detlen tugas nih jadi waktu ya cuma sedikit. Jika ada pertanyaan silahkan cantumkan di kolom komentar aja sob, nanti Mimin bales kok:v







Posting Komentar untuk "Tutorial deafce poc Wpbf dengan tools wp xmlrpc Bruteforce"