Cara Deface WP Install Setup Config

Hai gaes,
pada kesempatan kali ini gw mau kasih tutorial bagaimana caranya deface dengan method Wordpress Install Setup Config, tetapi sebelum masuk ketutorialnya alangkah baiknya tahu mengenai kerentanan ini.

Apa itu PoC wordpress install setup config?
PoC ini sebenarnya bukan bug atau kerentanan yang disebabkan oleh malfungsi dari kode program, melainkan kesalahan dari admin web itu sendiri. Jadi, sebuah website itu sudah terinstall CMS wordpress oleh sang admin, tetapi admin belum mengonfigurasi pengaturan cms wordpress yang installnya dengan benar.
Dengan kata lain, admin menginstall cms wordpress -> belum dikonfigurasi -> lalu meninggalkannya -> akan disetup di lain waktu -> website akan running.

Nah, pada step yang digaris bawahi itu merupakan kerentanan fatal yang dilakukan oleh admin, hacker bisa memanfaatkan kerentanan itu untuk melakukan setup konfigurasi websitenya disaat admin belum sempat mengonfigurasinya.

Sampe disini sudah faham?
Kalo belom faham coba baca lagi, dan cermati kata kata gweh.

Ok lanjut ke tutorialnya.
1. Pertama kalian dorking dulu di google untuk mendapatkan website yang rentan terhadap bug ini.

Untuk Dorknya:
Please, Log in or Register to view quote content!
Untuk Exploitnya:
Please, Log in or Register to view quote content!

Keterangan:
[site] : adalah website target
[path] : adalah direktori tempat menginstall wordpress
Untuk Dork diatas bisa dikembangin lagi sesuai dengan kreativitas dari kalian sendiri, agar resultnya semakin banyak yang didapat.

2. Setelah melakukan dorking dan mendapatkan target, pastikan kalo target tersebut vuln. Contohnya seperti ini:
Dan contoh untuk target yang tidak vuln adalah seperti gambar dibawah ini:
Jika website tersebut vuln, yang dilakukan adalah memilih bahasa yang akan dilakukan setup instalasi, lalu klik continue.

3. Setelah itu, lakukan setup instalasi konfigurasi ke website target yang mengalami vuln tersebut.
Keterangan:
  1. Site Title adalah judul website target yang akan diisntall
  2. Username adalah informasi user yang akan digunakan untuk login
  3. Password adalah informasi password yang akan digunakan untuk login
  4. Your Email adalah email yang akan digunakan untuk melakukan recovery password, jika suatu saaat lupa
  5. Install Wordpress adalah tombol untuk memproses instalasi dari data data yang di inputkan
  6. Search Engine Visibility adalah pilihan opsional untuk website target tersebut terindeks ke google atau tidak. Jika dicentang maka web target tidak akan terindeks di google, sedangkan apa bila tidak dicentang adalah kebalikannya
4. Okeh, kalau berhasil terinstall maka akan muncul gambar seperti dibawah ini. Lalu klik Login

Jika tidak seperti gambar diatas maka target tidak vuln. Skip saja, cari target lain.

5. Lakukan login admin menggunakan informasi akun yang sebelumnya dibuat.

6. Selamat anda berhasil login sebagai admin ke website target, setelah itu tinggal upload shell saja dan deface websitenya hehehe, terserahmu.

7. Untuk Upload Shell dan Deface di CMS wordpress bisa melihat ke tutorial selanjutnya.
 
Last edited:
  • Like
Reactions: kuamangmedia

About us

  • HaxorID used to be a community website for technology lovers, especially in the field of cyber security to learn, or develop their skills together for educational purposes. This is a place where we learn, a place where we can share information among members for research and share knowledge in the field of cyber security.

Quick Navigation

User Menu