Armin
Armin
Full Stack Developer System Administrator SEO Specialist Content Writer
Armin

Blog

Cara Mudah Exploitasi atau Hacking Web CMS Wordpress

Cara Mudah Exploitasi atau Hacking Web CMS Wordpress

Waaah udah lama banget ya gak nulis arikel tentang hacking
iya,jarang banget karena emang 2 tahun belakangan gak berkutat dengan eksploitasi
terutama pada web apps
lebih sering ICT sama Network sih,itu juga cuma buat integrasi aja
kali ini,tutorial hackingnya ada website berbasis cms wordpress.

Karena dari CMS nya aja,udah cocok banget di pake buat yang mau belajar bikin web
jujur,gue pun dulu belajar html dan php prakteknya juga dari joomla terus ke wordpress
waktu baru-barunya bisa make class php

Sangat mudah di gunakan dan di kembangkan,yang udah kebiasa make
dan programmer php yang bisa OOP di tambah sedikit manual dari wordpress
bisa dengan mudah bikin plugins atau themenya
nah saking gratis dan mudahnya wordpress yang sudah reliable dari situs-situs besar macam techinasia
akhirnya banyak hacker yang coba-coba 'keampuhan' CMS ini
seperti hukum teknologi informasi,kemudahan berbanding lurus dengan kerentanan
apapun platform nya.

Nah,di sini gue cuma mau share,gimana cara cari kelemahan di CMS ini
arti kata cari kelemahan biasanya bahasa teknisnya debugging
nyari celah biar gampang di eksploitasi kelemahannya
atau cara nge hacknya
yang jelas,setiap wordpress cara nge hacknya (next di sebut exploit)
akan berbeda,meskipun yang di exploit adalah plugins dengan jenis dan versi yang sama
tapi versi cms nya tentu beda 1 dengan yang lain,di tambah plugin2 penunjang lain
misal WAF (web application firewall).

Oh iya,artikel ini bukan web spesifik ya,dan buat yang baru baca artikel ini
sekedar informasi aja,kalau web hacking,belum tentu juga targetnya spesifik
karena biasanya targetnya random (acak) kalau targetnya sudah di tentukan
biasanya dari si attacker (hacker) udah cukup banyak gali informasi di situs target.

Unspecified target,biasanya pakai teknik google hacking menggunakan dork
atau keyword khusus buat cari kelemahan sebuah situs,dalam artian
kita pakai keyword ("index of" inurl: wp-content ) tanpa tanda kurung ya.
which is google akan deliver kita
ke list website yang punya kelemahan di wp-content tadi,soal cara exploitnya tergantung kreatifitas si attacker
gak cuma google,ada juga Shodan yang beralamatkan di www.shodan.io
yang bisa di pake untuk metode search engine hacking ini.

Cari kelemahan wordpress pakai wpscan

Nah,di sini saya pakai kali linux yang terinstall di virtualbox
karena main OS gw windows 10 ama arch

Kayaknya hampir semua tools  yang berbasis web hacking
direktori nya dulu yang yang di scan,contohnya kayak ini
wp-content,wp-includes,uploads

Lihat ya pertama kita scan tadi udah langsung di arahin ke beberapa direktori
sekarang kita langsung samperin direktorinya

kryptostechnology.com/wp-content/uploads

Wah,sama aja,masih kebuka,malah folder certificates
mari kita exploitasi pakai

https://www.exploit-db.com/exploits/47361

nah exploit itu pakai perl script,sehingga kita tinggal running aja
kelebihan exploit ini adalah remote code execution
sehingga kita langsung dapat shell user access,tapi masih bisa create file
terserah,create file nya pakai php webshell apa aja,di sini gue pakai b374k shell
atau mau langsung jalanin local root xpl juga boleh

Add Comment