Kali ini ane pengen share tentang gimana carnya hack wordpress dengan cara brute force. udah lama gak ngurusin blog ini, skrg gw mau share sedikit. Sebelum mulai, kita siapkan bahannya :
1. Python : http://www.python.org/download/
2. Script py : http://pastebin.com/V4viLPMQ
3. Wordlist : http://pastebin.com/JvNkFxBt#
4. Flunym0us :http://code.google.com/p/flunym0us/
Disarankan untuk memakai system operasi LINUX.. soalnya barusan gw coba make windows kaga work.
Langsung aja.
1. Langkah pertama sebelum kita mulai bruteforce, kita cari dulu user wordpressnya dengan Flunym0us. Flunymous berbentuk file .py dan buka filenya di cmd. Carnya, misal kamu simpan di folder C:\Flunym0us\ maka kamu buka CMD (start - run - "cmd") lalu ketikan cd C:\Flunym0us
2. Setelah itu, kamu ketik dengan syntax :
[namafile].py -H http://[situstarget]/ -wp -w wp-plugins.lst -t 60 -r 1 -p 2 -T 2
jika kamu tidak rename file apa2, ya langsung aja ketik flunymous.py.
CONTOH :
flunym0us.py -H http://www.adriannecurry.org/ -wp -w wp-plugins.lst -t 60 -r 1 -p 2 -T 2
3. setelah selesai scan, cari user WP nya.
nah sekarang tinggal bruteforce aja.. kita cari usernya dahulu biar gak sia2 waktu bruteforce jika usernya salah. biasanya kan kita tulis "admin", padahal lom tentu admin. bisa aja kek gambar diatas, usernya "adamjohn". jd skrg kita tinggal Brutforce aja.
1. buat 1 folder dimana aja terserah(klo bisa di C). misal C:\bruteforceWP
2. lalu copy paste script pitonnya (http://pastebin.com/V4viLPMQ) ke notepad lalu save di C:\bruteforceWP dengan extensi .py
3. copy file wordlist nya juga ke folder yang sam (C:\bruteforceWP)
4. kalau uda buka cmd, karena kita pakai contoh C:\bruteforceWP maka kita ketikan cd C:\bruteforceWP
5. lalu ketikan
[namafile].py -h http://[situstarget]/wp-login.php -u [username -P [wordlist].txt
contoh : wpbf.py -h http://www.adriannecurry.org/wp-login.php -u adamjohn -P akicha.txt
6. tunggu proses selesai..
7. klo udah, langsung aja login di site/wp-admin :)
lalu terserah mau otak atik sesuka agan..