WPScan merupakan tools vulnerability scanner untuk CMS Wordpress yang ditulis dengan menggunakan bahasa pemrograman ruby, WPScan mampu mendeteksi kerentanan umum serta daftar semua plugin dan themes yang digunakan oleh sebuah website yang menggunakan CMS Wordpress.

Dibawah ini akan saya berikan beberapa contoh penggunaan tools WPScan

Untuk melihat semua opsi yang dapat digunakan, ketikkan perintah
wpscan -h
wpscan -h

Penggunaan "non-intrusif"
Kita tidak menambahkan opsi yang ada, ini hanya memberikan query instalasi WP untuk mengambil informasi dasar dari situs tersebut
wpscan -u (url target)
wpscan -u (url target)

Selajutnya perintah untuk melihat plugin yang terinstall sekaligus melihat plugin yang terdapat vulnerability
wpscan -u (url target) --enumerate p
wpscan -u (url target) --enumerate p

Hasil dari scanning
result plugin

result plug-in

Selanjutnya untuk melihat Informasi themes yang digunakan beserta vulnerability-nya
wpscan -u (url target) --enumerate t
wpscan -u (url target) --enumerate t

result themes

Kemudian untuk melihat Informasi plugin timthumbs yang terinstall
wpscan -u (url target) --enumerate tt
wpscan -u (url target) --enumerate tt
Dari hasil scanning di atas tidak terdeteksi files timthumb

Nah sekarang kita coba untuk mencari username pada website yang menggunakan CMS Wondpress tersebut
wpscan -u (url target) --enumerate u
wpscan -u (url target) --enumerate u

Hasil dari enumerating username, terdapat 5 username pada situs berbasis wordpress tersebut
result enumeration username

Selain dapat digunakan enumerate username dan mencari vulnerability pada pulgin atau themes yang digunakan, WPScan juga dapat melakukan serangan bruteforce password juga. tentunya harus menggunakan wordlist.

Perintah untuk melakukan bruteforce seperti dibawah ini, sesuaikan username admin dengan yang muncul saat enumeration username
wpscan -u (url target) --wordlist darkc0de.lst --username admin
wpscan -u (url target) --wordlist darkc0de.lst --username admin

Itulah beberapa contoh dari penggunaan WPScan, artikel ini di buat hanya untuk pembelajaran semata, apabila ada penyalahgunaan dari tutorial ini , itu bukan tangggung jawab dari kami. Terima Kasih 

Posting Komentar

  1. Asek Akhirnya update Lagi Anher :v

    BalasHapus
  2. kak kayaknya p itu buat check plugin deh bukan password

    BalasHapus

 
Top