WEB SYSTEM & SECURITY LAB MANUAL

CMS SECURITY
Basic
Wordpress Vulnerability

Module 09
A. Lab Environment

- Kali Linux as a attacker (Virtual Machine)

- Ubuntu Server as a victim (Virtual Machine)
- Web Browser
- Tools to scanning vulnerability
- IP Address Victim (192.168.100.2)

B. Lab Scenario
Telah diketahui beberapa website dengan url:

Website URL Vulnerability Page

192.168.100.2/wordpress47 http://192.168.100.2/wordpress47

C. Lab Activity
Lakukan percobaan untuk melakukan injeksi melalui vulnerability page.

D. Tools
Browser (Mozilla Firefox)
Content Injection (Wordpress)

Pengetahuan Dasar:
1
- HTML
- PHP

Tools:

- Browser (Mozilla Firefox)

Langkah-langkah:
1. Akses Vulnerability Page dengan URL http://192.168.100.2/wordpress47

Gambar 1. Vulnerability Page

2. Pada halaman wordpress tersebut sudah ada postingan default, postingan tersebut
dibuat ketik pertama kali wordpress diinstal maka secara otomatis akan membuat
sebuah postingan dengan judul Hello World.
3. Setiap postingan memiliki yang namanya post id, post id untuk postingan Hello
World adalah 1.
4. Langkah selanjutnya adalah melakukan identifikasi versi wordpress yang
digunakan, bisa menggunakan wpscan atau whatweb yang sudah tersedia di kali
linux. Pada percobaan ini kita akan menggunakan whatweb. Caranya ketikkan
pada terminal kali linux:
Whatweb http://192.168.100.2/wordpress47

Gambar 2. whatweb

5. Ketika menggunakan whatweb, didapatkan informasi jika website tersebut

dibangun menggunakan wordpress versi 4.7.1.
6. Selanjutnya kita bisa mencoba melakukan enumerasi username terhadap
wordpress tersebut melalui dua cara, pertama melalui URL dan kedua melalui
wpscan.
7. Enumerasi username melalui URL, ketikkan di URL seperti berikut:
http://192.168.100.2/wordpress47/?author=1

Gambar 3. Enumerasi username

8. Ketika url tersebut diakses, maka akan wordpress akan melakukan redirect ke
halaman http://192.168.100.2/wordpress/index.php/author/wp47/. Jika kita lihat
pada halaman tersebut akan menampilkan informasi berupa AUTHOR:WP47, atau
bisa kita simpulkan salah satu username yang ada pada wordpress tersebut adalah
dengan nama WP47.
 Gambar 4. Author

9. Kemudian langkah selanjutnya adalah melakukan scanning vulnerability terhadap

website tersebut menggunakan wpscan. Caranya ketikkan pada terminal kali linux:
wpscan --url http://192.168.100.2/wordpress47

Gambar 5. Scanning menggunakan wpscan

10. Wpscan akan melakukan scanning vulnerability yang ada pada wordpress
meliputi baris kode-kode seperti pada kode utama/core, themes, plugin, dan
sebagainya berdasarkan versi wordpress yang terpasang yang kemudian
dicocokkan dengan database yang dimiliki wpscan.
11. Selain melakukan scanning, kita juga bisa langsung melakukan enumerasi
username menggunakan wpscan, caranya adalah dengan menambahkan --
enumerate u, jadi seperti berikut:

wpscan --url http://192.168.100.2/wordpress47 --enumerate u

Gambar 6. Enumerate username

Pada langkah ini hasil enumerasi username akan ditampilkan pada bagian akhir
scanning, seperti berikut:

Gambar 7. Hasil enumerasi username

12. Informasi tentang vulnerability pada wpscan bisa dilihat pada terminal, untuk
memudahkan membaca hasil scanning dari wpscan bisa kita pindahkan ke text
editor.
13. Disini kita akan ambil satu vulnerability yang berasal dari hasil scanning
menggunakan wpscan yaitu Unauthenticated Page/Post Content Modification
via REST API

Gambar 8. Content Injection

14. Pada hasil scanning ini juga sudah disertakan referensi website yang mengulas
tentang vulnerability ini. Unauthenticated Page/Post Content Modification via
REST API adalah vulnerability yang mengijinkan untuk merubah konten pada suatu
page atau postingan melalui API tanpa adanya otentikasi atau bisa juga disebut
dengan content injection.
15. Langkah selanjutnya adalah mencari payload untuk content injection pada
wordpress 4.7.1. Kita bisa mencari di website https://www.exploit-db.com.

Gambar 9. Exploit-db

16. Lakukan pencarian berdasarkan vulnerability yang sudah ditemukan atau

langsung cari dengan keywoard wordpress 4.7.
 Gambar 10. Searching payload

17. Kemudian cari content injection (python)

Gambar 11. Content injection (python)

Disana sudah tersedia kode yang bisa digunakan untuk melakukan content
injection terhadap wordpress 4.7.1.
Kita bisa copy paste kode yang tersedia disana kemudian simpan dalam format
python atau langsung download pada button download yang tersedia kemudian
save, defaultnya akan disimpan dengan nama 41223.py.
18. Jika sebelumnya mendownload menggunakan komputer host windows, berarti
langkah selanjutnya adalah pindahkan file 41223.py ke kali linux menggunakan
wget.
19. Pada percobaan kali ini file 41223.py akan kita simpan di Desktop. Kemudian
jalankan file tersebut melalui terminal dengan mengetikkan:
python 41223.py

Gambar 12. 41223.py

Disini dijelaskan bagaimana cara menggunakan file tersebut, yaitu dengan cara
mengetikkan:

python 41223.py http://192.168.100.2/wordpress47 post_id file_with_post_content

keterangan:
- Post_id: id dari postingan/page yang akan dirubah kontennya, pada kasus ini
kita akan merubah postingan dengan judul hello world yang mempunyai
post_id = 1
- File_with_post_content: file yang berisi konten yang akan disisipkan ke dalam
page/postingan hello world.

20. Buatlah sebuah file dengan nama hackwp kemudian isikan kalimat berikut:
<h1>testing content injection</h1>.

Gambar 13. Create file hackwp

Gambar 14. Hackwp content

21. Kemudian setelah file hackwp dibuat, ketikkan di terminal sebagai berikut:
Python 41223.py http://192.168.100.2/wordpress47 1 ‘hackwp’

Gambar 15. Payload

Lengkapnya sebagai berikut:

Gambar 16. Updating content

Keterangan yang tampil pada terminal update complete, kemudian kita lihat
kembali pada halaman wordpress sebelumnya.

Gambar 17. Konten berhasil diupdate

Kita bisa juga mencoba terhadap postingan lain selain postingan hello world,
seperti berikut:

Gambar 18. Postingan lain

Yang terpenting disini adalah kita mengetahui post_id dari postingan yang
kontennya akan kita rubah.
Latihan:
Buatlah report beserta skenario mencari
vulnerability pada url
http://192.168.100.2/wordpress48