Relate Search : Hydra, Cracking, Hacking, Bypass, Facebook, Twitter, Login, Website, Security, Terminal.
2. check website yang akan menjadi tempat testing . saya menggunakan localhost yang memiliki login website yang saya buat sendiri.
3. langkah selanjutnya adalah mencoba dan melihat hasil apabila login yang di lakukan salah.
ingat baik-baik hasil login apabila ada kesalahan dalam username dan password.
pada contoh kali ini, hasil yang muncul adalah "Login gagal" seperti pada gambar di bawah ini.
4. siapkan wordlist yang berisi email dan password. akan lebih memudahkan apabila anda sudah mengatahui email target, jadi anda tinggal menyertakan wordlist password dari akun target. berikut saya menggunakan wordlist yang berisi email saya sendiri, saya simpan dengan nama user.txt.
berikut wordlist password yang berisi kata random, yang saya simpan dengan nama pass.txt :
5. setelah perlengkapan siap semua, sekarang waktunya melakukan eksekusi, ketikkan perintah :
hydra -L user.txt -P pass.txt 127.0.0.1 http-get-form "/login.php:username=^USER^&password=^PASS^&login=login:gagal"
keterangan :
- biru : nama file worlist user dan pass yang udah di buat atau di download.
- merah : domain website atau ip website.
- hijau : nama metode yang di gunakan oleh website untuk proses login. untuk mengetahui metode ini bisa di lakukan inspect element pada form login website, seperti pada gambar di bawah ini.
pada gambar di atas bisa kita lihat 2 baris di bawah garis biru terdapat kata "method='GET'" yang menyebutkan bahwa form login ini menggunakan methode GET.
- orange : sub url yang ada pada waktu kesalahan login , yang di ubah sedikit.
sub url yang awalnya : /login.php?username=bill&password=testing&login=login
dapat di lihat di atas, bahwa proses bruteforcing telah selesai, dan mendapatkan hasil yaitu :
host: 127.0.0.1 login: bill@3xpl01t.com password: testing
7. selanjutnya balik ke halaman login website, lalu ketikkan user dan password yang sudah di peroleh tadi.
VOILAAAA... login sukses.
Bruteforce Login Website adalah suatu teknik dimana kita akan melakukan penetrasi dengan cara masuk ke dalam suatu website yang memiliki proteksi login, dengan cara ilegal yaitu melakukan penebakan user dan password secara masal. teknik bruteforce tidak hanya bisa di gunakan di website, tapi juga bisa di lakukan di lingkungan lain seperti login apps, login windows, login email dll.
pada tutorial kali ini saya akan melanjutkan sesi dari tutorial hydra. dan sekarang sudah mencapai part II, dengan judul " bruteforcing login website" , pada tutorial hydra part I saya menggunakan mode GUI untuk melakukan cracking, tapi untuk sekarang saya akan menggunakan versi Consolenya. teknik ini memanfaatkan Bug method GET yang di miliki website, pada praktiknya nanti saya akan menggunakan website yang saya buat sendiri, jadi dan menggunakan localhost sebagai servernya. tutorial ini bisa di terapkan dan di kembangkan untuk website-website yang lebih terkenal seperti facebook, twitter, pinterest dll. tapi harus tetap menggunakan Etical hacking. dan jangan sampai merugikan orang lain atas nafsu hacking anda.
oke, tanpa basa basi lagi, langsung saja ke tutorialnya :
Hal-hal yang di butuhkan :
- Terminal (Console Linux)
- Hydra
- Website Target ( Localhost )
1. buka terminal tekan alt+ctrl+t , atau dari menu linux , pilih terminal.
masuk ke akses root , ketik : sudo su, apabila anda menggunakan kali linux atau os penetrasi lainnya, bisa skip langkah ini.
2. check website yang akan menjadi tempat testing . saya menggunakan localhost yang memiliki login website yang saya buat sendiri.
ingat baik-baik hasil login apabila ada kesalahan dalam username dan password.
pada contoh kali ini, hasil yang muncul adalah "Login gagal" seperti pada gambar di bawah ini.
4. siapkan wordlist yang berisi email dan password. akan lebih memudahkan apabila anda sudah mengatahui email target, jadi anda tinggal menyertakan wordlist password dari akun target. berikut saya menggunakan wordlist yang berisi email saya sendiri, saya simpan dengan nama user.txt.
berikut wordlist password yang berisi kata random, yang saya simpan dengan nama pass.txt :
5. setelah perlengkapan siap semua, sekarang waktunya melakukan eksekusi, ketikkan perintah :
hydra -L user.txt -P pass.txt 127.0.0.1 http-get-form "/login.php:username=^USER^&password=^PASS^&login=login:gagal"
- biru : nama file worlist user dan pass yang udah di buat atau di download.
- merah : domain website atau ip website.
- hijau : nama metode yang di gunakan oleh website untuk proses login. untuk mengetahui metode ini bisa di lakukan inspect element pada form login website, seperti pada gambar di bawah ini.
pada gambar di atas bisa kita lihat 2 baris di bawah garis biru terdapat kata "method='GET'" yang menyebutkan bahwa form login ini menggunakan methode GET.
- orange : sub url yang ada pada waktu kesalahan login , yang di ubah sedikit.
sub url yang awalnya : /login.php?username=bill&password=testing&login=login
- tanda tanya di ganti dengan titik dua
- username yang di inputkan sebelumnya di ganti dengan ^USER^
- password yang di inputkan sebelumnya di ganti dengan ^PASS^
- pada akhir sub url di tambah dengan "titik dua" di tambah kata yang ada pada kesalah login yaitu "gagal", hasilnya ":gagal"
hasil dari beberapa penggantian di atas adalah :
"/login.php:username=^USER^&password=^PASS^&login=login:gagal"
jangan lupa di beri tanda kutip untuk sub urlnya
jangan lupa di beri tanda kutip untuk sub urlnya
6. setelah selesai di ketikkan di atas, maka lanjutkan dengan menekan ENTER.
tunggu prosesnya hingga selesai, lama tidak nya proses bruteforcing tergantung dari kerumitan user dan password target.
dapat di lihat di atas, bahwa proses bruteforcing telah selesai, dan mendapatkan hasil yaitu :
host: 127.0.0.1 login: bill@3xpl01t.com password: testing
7. selanjutnya balik ke halaman login website, lalu ketikkan user dan password yang sudah di peroleh tadi.
VOILAAAA... login sukses.
teknik ini benar-benar powerfull, walaupun begitu tetep ada kelemahannya. bayangkan apabila teknik di atas di lakukan ke pada login website yang sebenarnya. selamat bereksperimen.
NOTE : 3xpl01t memberikan tawaran bagi pembaca yang ingin order membuat website, bisa order ke kami , untuk tata caranya bisa masuk ke link berikut.
Sekian artikel saya, Semoga Bermanfaat. Wassalamualaikum Wr Wb
Stay fools to Stay Hungry
NB : Artikel ini di peruntukkan untuk pendidikan semata. hal-hal negatif yang di lakukan oleh pengguna tutorial , bukan tanggung jawab penulis.