Skip to main content

Tutorial Hydra Part II ( Bruteforce Login Website )


Relate Search : Hydra, Cracking, Hacking, Bypass, Facebook, Twitter, Login, Website, Security, Terminal.

Bruteforce Login Website adalah suatu teknik dimana kita akan melakukan penetrasi dengan cara masuk ke dalam suatu website yang memiliki proteksi login, dengan cara ilegal yaitu melakukan penebakan user dan password secara masal. teknik bruteforce tidak hanya bisa di gunakan di website, tapi juga bisa di lakukan di lingkungan lain seperti login apps, login windows, login email dll.

pada tutorial kali ini saya akan melanjutkan sesi dari tutorial hydra. dan sekarang sudah mencapai part II, dengan judul " bruteforcing login website" , pada tutorial hydra part I saya menggunakan mode GUI untuk melakukan cracking, tapi untuk sekarang saya akan menggunakan versi Consolenya. teknik ini memanfaatkan Bug method GET yang di miliki website, pada praktiknya nanti saya akan menggunakan website yang saya buat sendiri, jadi dan menggunakan localhost sebagai servernya. tutorial ini bisa di terapkan dan di kembangkan untuk website-website yang lebih terkenal seperti facebook, twitter, pinterest dll. tapi  harus tetap menggunakan Etical hacking. dan jangan sampai merugikan orang lain atas nafsu hacking anda.

oke, tanpa basa basi lagi, langsung saja ke tutorialnya :

Hal-hal yang di butuhkan : 
- Terminal (Console Linux)
- Hydra
- Website Target ( Localhost )

1. buka terminal tekan alt+ctrl+t , atau dari menu linux , pilih terminal.
masuk ke akses root , ketik : sudo su, apabila anda menggunakan kali linux atau os penetrasi lainnya, bisa skip langkah ini.



2. check website yang akan menjadi tempat testing . saya menggunakan localhost yang memiliki login website yang saya buat sendiri.

 3. langkah selanjutnya adalah mencoba dan melihat hasil apabila login yang di lakukan salah.
























ingat baik-baik hasil login apabila ada kesalahan dalam username dan password.
pada contoh kali ini, hasil yang muncul adalah "Login gagal"  seperti pada gambar di bawah ini.


4. siapkan wordlist yang berisi email dan password. akan lebih memudahkan apabila anda sudah mengatahui email target, jadi anda tinggal menyertakan wordlist password dari akun target. berikut saya menggunakan wordlist yang berisi email saya sendiri, saya simpan dengan nama user.txt.



berikut  wordlist password yang berisi kata random, yang saya simpan dengan nama pass.txt :



5. setelah perlengkapan siap semua, sekarang waktunya melakukan eksekusi, ketikkan perintah :

hydra -L user.txt -P pass.txt 127.0.0.1 http-get-form "/login.php:username=^USER^&password=^PASS^&login=login:gagal"

 keterangan :

- biru : nama file worlist user dan pass yang udah di buat atau di download.
- merah : domain website atau ip website.
- hijau : nama metode yang di gunakan oleh website untuk proses login. untuk mengetahui metode ini bisa di lakukan inspect element pada form login website, seperti pada gambar di bawah ini.



pada gambar di atas bisa kita lihat 2 baris di bawah garis biru terdapat kata "method='GET'" yang menyebutkan bahwa form login ini menggunakan methode GET.

- orange : sub url yang ada pada waktu kesalahan login , yang di ubah sedikit. 


sub url yang awalnya : /login.php?username=bill&password=testing&login=login
- tanda tanya di ganti dengan titik dua
- username yang di inputkan sebelumnya di ganti dengan ^USER^
- password yang di inputkan sebelumnya di ganti dengan ^PASS^
- pada akhir sub url di tambah dengan "titik dua" di tambah kata yang ada pada kesalah login yaitu "gagal", hasilnya ":gagal"
hasil dari beberapa penggantian di atas adalah :

 "/login.php:username=^USER^&password=^PASS^&login=login:gagal"

jangan lupa di beri tanda kutip untuk sub urlnya




 6. setelah selesai di ketikkan di atas, maka lanjutkan dengan menekan ENTER.
tunggu prosesnya hingga selesai, lama tidak nya proses bruteforcing tergantung dari kerumitan user dan password target.


dapat di lihat di atas, bahwa proses bruteforcing telah selesai, dan mendapatkan hasil yaitu :

host: 127.0.0.1    login: bill@3xpl01t.com   password: testing

7. selanjutnya balik ke halaman login website, lalu ketikkan user dan password yang sudah di peroleh tadi.



VOILAAAA... login sukses.


teknik ini benar-benar powerfull, walaupun begitu tetep ada kelemahannya. bayangkan apabila teknik di atas di lakukan ke pada login website yang sebenarnya. selamat bereksperimen.

NOTE : 3xpl01t memberikan tawaran bagi pembaca yang ingin order membuat website, bisa order ke kami , untuk tata caranya bisa masuk ke link berikut. 

Mau pasang iklan di blog?. klik Disini

Sekian artikel saya, Semoga Bermanfaat. Wassalamualaikum Wr Wb

Stay fools to Stay Hungry
NB : Artikel ini di peruntukkan untuk pendidikan semata. hal-hal negatif yang di lakukan oleh pengguna tutorial , bukan tanggung jawab penulis.

Popular posts from this blog

MENGATASI PRINTER KEHABISAN TINTA HITAM

Hai semua…. Saya kembali lagi untuk memberi tips dan trik computer untuk kalian. Pernahkah kalian kehabisan tinta?.Apalagi tinta hitam yang sring di gunakan buat print tugas!. Yah gitulah kalau dompet kempes tapi mau print tugas yang di kumpulin besok, wah mau print di warnet tapi gak punya duit, apalagi beli tinta waaaahhh. Tambah pusing..!!! Tapi jangan khawatir disini saya akan mengulas masalah tersebut dan memberi kalian jalan keluar untuk kalian yang dompetnya lagi kosong melompong kayak punya saya. Hehehe (jangan terseinggung ya, Cuma bercanda) Berikut adalah trik saya untuk print pada printer canon, tapi jangan khawatir kemungkinan besar gak beda jauh koq sama printer merk lain, tapi berbahagialah bagi yang printernya canon. Trik ini memiliki syarat kalau tinta warna harus ADA!! Ingat karna kita disini akan memodifikasi warna bukan menyulap catridge warna hitam yang semula habis menjadi full. LOL :D Nah sudah cukup basa basinya dengan saya berikut tutorialnya :  Buka document ya…

How Strict is Golang? #GolangDev

Hello everyone, in this occasion I would like to share about the strictness of golang. what kind of strict? let see below.

Golang is the functional programming that really have concern about performance, giving limitation to prevent overuse memory is the big deal. for example, golang has a variative type of data such as int, string, boolean, float, array etc. I wonder that you are thinking about "what kind of strictness that is? its totally similar other language", YES. but golang have specification in numeric type of data such as int have int8, int16, int32, int64. golang also have uint8, uint8, uint32 and uint64 which is its really strict you know. the following number after type of data is stand for the length. Obviously you could use the largest type of data for all the variables, but you know it could overwhelming if you put int64 in "is_valid" variable right? joking :D. golang really care about performance, because each length of variable is matters for memo…

Making a Segue Between Storyboard Part II #IOSDev

Hello everyone, in this tutorial i would like to continue my last tutorial about segue, if you dont have read it yet, just go to this link.

in this tutorial i would like to show you how to switch between view controller using programmatically in swift. interesting right? so here it is.
prerequisite:
* create new project
* know how to put segue by drag and drop

firstly, open last xcode project about segue in the first tutorial. and then add new viewcontroller. like bellow


connect segue from first viewcontroller to third viewcontroller by dragging first viewcontroller icon and drop it to third viewcontroller, you could use ctrl+click to drag and drop. after you drop, you will face new popup window, choose "show" like bellow 



click on the segue path link like bellow



on the right side bar, you will see some menu, choose the attribute menu. and then you can see identifier option right there. fill the identifier as you want, in this tutorial we put "seguePartII" as the n…