maaf sebelumnya hanya share aja mengenai penggunaan wpscan
kalo misal trit ini kurang bermutu silahkan dihapus gak papa.
disini ane cuma share aja penggunaan tools wpscan yang ada di BBox
penggunaan wpscan bisa dibilang cukup mudah
untuk beberapa website mungkin kita bisa melihat pengguna yang ada dalam wordpress victim tapi gak semuanya, karena mungkin victim menggunakan fasilitas premium dan penggunaan cms nya bertujuan agar pemilik web mudah dalam menggunakan cms ini.
untuk melihat username wordpress bisa menggunakan command
sudo wpscan --url http://www.victim.com --enumerate u
lihat hasil di akhir proses biasanya muncul
Code:
Enumerating usernames ...
[+] Identified the following 2 user/s:
+----+--------+-------------+
| Id | Login | Name |
+----+--------+-------------+
| 1 | admin | admin |
| 2 | bnovak | Brian Novak |
+----+--------+-------------+
klo ga muncul lihat aja cari vuln plugin nulled ato gak update hasil scan tadi dengan tanda warna merah.
setelah menemukan username:
langkah selanjutnya mesti lebih greget,
beda dengan menggunakan vuln dari revslider
proses ini cukup butuh waktu.bahkan terkadang wordlist yang digunakan gak mendekati.
biasanya wordlist yang digunakan hasil download.
saran ane sih kita mesti lebih pinter dalam mengolah wordlist, wordlist yang digunakan sebaiknya mendekati victim dengan arti kita cari tau ttg email victim search aja nama admin yang kalian temukan , misalkan dari data diatas pengguna nya bernama admin biasanya karakter ini pemalas mungkin saja username dan pass yang digunakan
ya begitu lah cara membuat wordlist yang baik menurut ane, dibandingkan download wordlist ber giga2 tapi isinya kamus.
menurut ane wordlist yang dibuat dengan "mendekati" victim lebih baik, tanggal lahir nama pacar tanggal lahir tanggal jadian,dll tergantung mood anda.
menurut kacamata saya trik TS lebih simple memang. Cuman agak makan waktu sih ya. Tapi bagi yang mau coba sih boleh2 aja ahaha itung2 nambah pengetahunan lagi :D
