Analisa Brute Force Attack

menggunakan Scanning Aplikasi pada HTTP Attack

Artikel Ilmiah

Peneliti :
Hanif Sidiq Pratita (672010194)
Dr. Irwan Sembiring, S.T., M.Kom.

Program Studi Teknik Informatika

Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
Februari 2016

I
II
III
IV
V
VI
 Analisa Brute Force Attack
menggunakan Scanning Aplikasi pada HTTP Attack
1) 2)
Hanif Sidiq Pratita, Irwan Sembiring
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Jl. DIPonegoro 52-60, Salatiga 50771, Indonesia
Email: 1) hanif.sidiqpratita@gmail.com, 2) irwan@staff.uksw.edu

Abstract
With the development of today's world, a website is already popular in
cyberspace. It makes the website become the target of hackers that may be
detrimental to the exploitation of the website itself. To know how to hack a
website with Brute Force Atack, then be made of a analysis of brute force attack.
Brute force is an algorithm that solve a problem with a very simple and evident.
Solving problems password cracking by using a brute force algorithm will place
and looking for all the possibilities for password combinations to the input of
characters and specified length of the password. certainly with a lot of
combinations of passwords. In this experiment the process of brute force using a
scanning application programs, so in this manner can be viewed clearly the
process that happens when the website be attacked with a brute force attack
process.

Abstrak
Dengan berkembangnya dunia saat ini, sebuah website sudah populer di dunia
maya. Hal itu membuat website menjadi sasaran peretas untuk melakukan
tindakan pengeksploitasian yang dapat merugikan website itu sendiri. Untuk
mengetahui bagaimana sebuah website di jebol atau dengan kata lain di hack
dengan teknik Brute Force, maka dibuatlah sebuah analisa brute force attack .
brute force adalah algoritma yang memecahkan masalah dengan sangat sederhana,
langsung, dan dengan cara yang jelas . Penyelesaian permasalahan password
cracking dengan menggunakan algoritma brute force akan menempatkan dan
mencari semua kemungkinan password dengan masukan karakter dan panjang
password tertentu tentunya dengan banyak sekali kombinasi password. Dalam
penelitian kali ini proses brute force menggunakan program Aplikasi Scaning,
maka dengan cara ini dapat dilihat secara jelas proses yang terjadi ketika sebuah
website di serang dengan proses brute force .
Kata Kunci : Website, Peretas, Brute Force, password cracking, Scaning.
1)
Mahasiswa Program Studi Teknik Informatika, Fakultas Teknologi Informasi, Universitas
Kristen Satya Wacana Salatiga
2)
Staff Pengajar Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana Salatiga

VII
 1. Pendahuluan

Pada saat ini dunia maya sudah berkembang pesat disegala bidang
khususnya di bidang website., saat ini dengan adanya teknologi seperti http dan
https maka dapat membantu dan mempermudah pekerjaan manusia dalam bidang
komunikasi dan informasi dapat cepat di sajikan dengan tepat dan akurat Seiring
semakin berkembangnya teknologi, semakin berkembang juga kejahatan yang
terjadi, seperti penyadapan data web defaching, serangang brutal atau disebut juga
brute force dan lain – lain dari yang merugikan dan sebagai keamanan data bagi
para pengguna internet terhadap pengguna http, penyerangan dapat dilakukan
dengan menggunakan software dan juga menggunakan dengan cara cara lain
untuk melakukan serangan terebut . untuk serangan yang terjadi secara brutal atau
brute force bisa menggunakan beberap aplikasi yang terdapat dalam sistem
operasi kali linux , teknik password cracking yang sering disebut sebagai teknik
serangan brute force tersebut biasa digunakan oleh para hacker untuk melakukan
serangan pada http maupun https . Dengan Teknik serangan brute force maka
sistem keamanan sebuah website tersebut dapat ketahui dengan cara
menggunakan percobaan terhadap semua kunci dan semua aktifitas yang
dilakukan oleh pengguna http juga dapat diketahui dan dengan teknik ini maka
serangan brute force dapat di implementasikan oleh para hacker dengan lebih
cepat.

Brute Force attack adalah sebuah metode untuk menjebol kode rahasia
(yaitu, mendekripsi sebuah teks yang telah terenkripsi) dengan mencoba semua
kemungkinan kunci yang ada. Feasibility dari sebuah brute force attack
tergantung dari panjangnya cipher yang ingin dipecahkan , dan jumlah komputasi
yang tersedia untuk penyerang. Salah satu contohnya programnya bernama
WPScan yaitu Password Cracker mencoba semua kombinasi yang mungkin dari
karakter yang telah didefinisikan sebelum atau set karakter yang kustom melawan
sebuah password yang telah terenkripsi di brute force dialog, kuncinya adalah
mencoba semua kemungkinan password. Dikutip dari jurnal Krisnadi Eka
Pramudita yang berjudul “ Brute Force Attack dan Penerapannya pada Password
Craking “.

Berdasarkan latar belakang masalah tersebut, maka dilakukan penelitian

untuk analisa serangan brute force yang ditujukan kepada para pengguna website
resmi maupun pengguna website local karena sangat di butuhkan kemampuan
untuk mengetahui dan bagaimana cara kinerja serangan brute force tersebut
sehingga para pengguna dapat memikirkan bagaimana password website mereka
tidak dapat dengan mudah di hack oleh orang lain .

Karena luasya cakupan mengenai kejahatan brute force maka dibuat batasan-
batasan masalah pada penelitian ini meliputi beberapa hal, yaitu sebagai berikut :

1
 1. Peneliti ini menganalisi website yang sudah diserang menggunakan teknik
brute force pada jaringan lokal atau pada webserver dan website online
yang mempunyai celah keamanan mysql untuk di buat untuk simulasi.

2. Peneliti ini hanya melakukan serangan untuk melakukan simulasi

pencurian user dan password yang ada pada website .

3. Setelah penyerang sudah mendapatkan password selanjutnya akan

melakukan analisa sistem kerja pada aplikasi yang di gunakan untuk brute
force.

2. Kajian pustaka

Penelitian tentang Brute Force Attack sudah banyak diteliti oleh orang yang
mahir di bidang keamanan jaringan, salah satunya tentang “Brute Force Attack
dan Penerapanya Pada Password Cracking ”yang ditulis oleh Krisnaldi Eka
Pramudita, penelitian yang dilakukan mengulas tentang algoritma brute force
dalam lingkup teknologi informasi dan penerapannya dalam membobol atau
meretas sebuah password misalnya password untuk login facebook atau
wordpress. Algoritma brute force yang umumnya dipakai untuk meretas kasus
password seperti ini umumnya disebut Brute Force Attack .
Brute force attack menggunakan sebuah himpunan karakter atau teks yang
akan dipakai untuk referensi karakter-karakter dari password yang ingin
dibobol/diretas. Himpunan karakter yang dipakai akan menjadi sebuah ukuran
keefektifan dari algoritma itu sendiri . Semakin banyak anggota himpunan
karakter ini, tentunya persentasi password cracking untuk sebuah password dapat
diretas akan meninggi. Namun, makin banyak karakter yang ada di dalam
himpunan itu harus dibayar dengan waktu pengerjaan yang lebih lama. Brute
Force ini sudah mulai dikembangkan untuk meretas password. Salah satu
pengembangannya adalah dictionary attack yang menggunakan algoritma brute
force tetapi himpunan karakternya berasal dari sebuah kamus (misalnya KBBI)
sehingga memungkinkan untuk memangkas waktu yang diperlukan Brute Force
Attack pada umumnya walaupun ber-drawback tidak ditemukannya password. [1].
Berdasarkan penelitian terdahulu tentang “implementasi alogaritma brute
force dalam pencarian data katalog buku perpustakaan” yang membahas
tentang pola pencocokan kumpulan karakter huruf/kata (selanjutnya disebut
String) yang satu dengan String yang lainnya menggunakan Algoritma Brute
Force atau biasa disebut Algoritma Naïf (Naïve Algorithm) dan cara penyelesaian
masalah pencocokan pola String dengan Algoritma Brute Force tergolong
termasuk cara penyelesaian yang tidak cerdas karena memiliki cara kerja yang
sederhana, String Matching merupakan salah satu algoritma yang digunakan
untuk mempercepat proses pencarian kata yang diinginkan. String matching
dibagi menjadi dua, yakni exact matching dan heuristic atau statistical matching.
Algoritma string matching telah sering digunakan sebelumnya seperti contoh pada
proses pencocokan string berdasarkan persamaan teks data yaitu Brute Force.

2
Dalam hal ini, dipilih algoritma brute force karena algoritma ini dapat digunakan
untuk melakukan pencarian string atau teks [2].

Berdasarkan pada penelitian selanjutnya, dari jurnal yang ditulis oleh Oni
Rafizan yang terkait dengan “Analisa penyerangan social enginering” . maka
dilakukan pengembangan penelitian yang membahas tentang analisa sebuah
serangan brute force dengan program aplikasi dari sistem operasi kali linux yaitu
Aplikasi Scanning yang nantinya akan melakukan serangan terhadap sebuah
webserver yang sudah di rancang sebelumnya dan penelitian ini menghasilkan
sebuah analisa yang nantinya dapat membantu para pengguna website yang
terkena serangan brute force untuk mengetahui bagaimana cara kerja proses brute
force berlangsung. WPScan dan Sql Ijection adalah scanner keamanan yang
memeriksa keamanan Website menggunakan metode “blackbox” fiturnya yaitu
untuk pencacahan username dan multithreaded password untuk proses
bruteforcing, pencacah versi plugin Website dan pencacahan kerentanan sistem.
Disini kita akan menunjukkan bagaimana melakukan audit keamanan pada
installasi Website dengan nama pengguna yang memiliki password lemah dan
menggunakan blog plugin yang rentan. [3].

Serangan brute-force adalah sebuah teknik serangan terhadap sebuah

sistem keamanan komputer yang menggunakan percobaan terhadap semua kunci
yang mungkin. Pendekatan ini pada awalnya merujuk pada sebuah program
komputer yang mengandalkan kekuatan pemrosesan komputer dibandingkan
kecerdasan manusia. Sebagai contoh, untuk menyelesaikan sebuah persamaan
kuadrat seperti x²+7x-44=0, di mana x adalah sebuah integer, dengan
menggunakan teknik serangan brute force, penggunanya hanya dituntut untuk
membuat program yang mencoba semua nilai integer yang mungkin untuk
persamaan tersebut hingga nilai x sebagai jawabannya muncul. Istilah brute force
sendiri dipopulerkan oleh Kenneth Thompson, dengan mottonya: "When in doubt,
use brute-force" (jika ragu, gunakan brute-force).
Secara sederhana, menebak password dengan mencoba semua kombinasi karakter
yang mungkin. Brute force attack digunakan untuk menjebol akses ke suatu host
(server/workstation/network) atau kepada data yang terenkripsi. Metode ini
dipakai para cracker untuk mendapatkan account secara tidak sah, dan sangat
berguna untuk memecahkan enkripsi. Enkripsi macam apapun, seperti Blowfish,
AES, DES, Triple DES dsb secara teoritis dapat dipecahkan dengan brute-force
attack. Pemakaian password sembarangan, memakai password yang cuma
sepanjang 3 karakter, menggunakan kata kunci yang mudah ditebak,
menggunakan password yang sama, menggunakan nama, memakai nomor
telepon, sudah pasti sangat tidak aman. Namun brute force attack bisa saja
memakan waktu bahkan sampai berbulan-bulan atau tahun bergantung dari
bagaimana rumit passwordnya [4].

3
 Gambar 1 merupakan gambar perbandingan string Brute Force attack
matching antara pattern dengan text per karakter dengan pseudocode berikut :

do if (text letter == pattern letter)

compare next letter of pattern to next
letter of text
else move pattern down text by one letter
while (entire pattern found or end of text)

Exhaustive key search cracking mungkin saja memerlukan waktu yang sangat
panjang untuk berhasil, tetapi jika character setnya sidah benar sesaui password,
maka tinggal hanyalah jadi masalah waktu .

Pada gambar di bawah ini menunjukkan perbandingan antara panjang password

dengan jumah permutasi .

Gambar 1 Perbandingan panjang password dengan jumlah permutasi.

Dalam subbab ini memperlihatkan aprosimaksi waktu yang diperlukan

sebuah komputer atau sebuah cluster komputer untuk menebak password. Gambar
- gambar di bawah adakah aprosimaksi dan waktu maksimal untuk menebak
sebuah password menggunakan keysearch attack biasa. Mungkin saja kadang ada
sebuah tebakan beruntung yang benar tanpa harus mencoba kombinasinya.

4
 3. Metode Penelitian Sistem

Berdasarkan pada tujuan yang ingin dicapai, penelitian ini dirancang dengan
pendekatan “Penelitian dan Pengembangan”, artinya suatu program penelitian
ditindak lanjuti dengan program pengembangan untuk perbaikan atau
penyempurnaan. Metode yang digunakan yaitu model PPDIO dengan terbagi
dalam enam tahapan, yaitu: (1) Prepare untuk penelitian, (2) Planning, (3) Design
(4) Impementasi (5) Operate dan yang terakhir yaitu (6) Optimize. Adapun
tahapan yang dilakukan ditunjukkan pada Gambar 2.

Gambar 2 Tahapan Penelitian

Tahap pertama : Prepare dilakukan untuk mengumpulkan data dengan cara

mengumpulkan artikel dan jurnal yang berkaitan dengan keamanan jaringan,
brute force, dan cara membangun webserver sederhana serta penelitian terdahulu
tentang Penerapan brute force ;
Tahap kedua : Planning atau perencanaan bagaimana nantinya penelitian ini
dihasilkan .
Tahap ketiga : Design untuk membuat sususan sesuai dengan rencana yang akan
di lakukan penelitian.
Simulasi Serangan meliputi proses melakukan serangan terhadap webserver yang
telah di bangun menggunkan tehnik Brute Force dan Sql Injection
Tahap keempat : Implement atau perancangan sistem dan perangkat meliputi
proses perancangan membuat webserver menggunkan wordpress dan proses
installasi aplikasi untuk scanning Brute Force.
Tahap kelima : Operate pengujian Simulasi dan analisis hasil penyerangan, yaitu
dilakukan pengujian dengan cara menganalisa cara kerja Wpscan dan SqlMap
yaitu aplikasi yang digunakan untuk proses penyerangan.
Tahap keenam : Hasil yang telah di capai akan kembali mengulang dari awal
jika sudah sampai ke tahap kelima tidak ada perkembangan .

5
Hardware dan software yang digunakan dalam membangun sistem ini memiliki
spesifikasi : 1) CPU Intel Core i3-2350M., 2.3Ghz, memory RAM 4GB;
2) Wi-fi speedy dan wi-fi ID;
3) Aplikasi WPScan Pada KaliLlinux, Apache, Bind9;
4) Database yang digunakan phpmyadmin, mysql;
5) Web browser yang digunakan Mozilla Firefox;
6) Bahasa pemrograman dalam membuat web adalah php.
7) Wordpress yang di gunakan versi Wordpress 4.2.3

Pada perancangan selanjutnya yang dilakukan adalah menginstall

webserver pada Ubuntu 10.0 dan mencari website secara online yang mempunyai
kerentanan pada celah sql databasenya untuk dilakukan scanning menggunakan
wpscan dan sql injection . pada webserver dengan menggunakan Apache, bind9
dan bahan-bahanya untuk membuat suatu simulasi penyerangan terhadap
kelemahan webserver. Setelah itu untuk membuat contoh tampilan web utama
dengan menggunakan wordpress versi 4.2.3 yang memiliki halaman login yang
nantinya akan di lakukan penyerangan terhadap hamalan login tersebut sehingga
penyerangan brute force dapat menemukan user admin dan user lain dan bagian
yang paling penting yaitu passwordnya untuk kemudian masuk kedalam
dashboard dan menyusup masuk kedalam website serta dapat melakukan
peretasan website tersebut . pada proses simulasi penyerangan kali ini simulasi
penyerangan menggunakan salah satu program aplikasi bawaan dari kali linux
yang merupakan sistem operasi kembangan dari backtrack yaitu WPScan dan
beberapa aplikasi Sql Injection yang telah di install pada windows .
Gambar 3 merupakan tampilan wordpress versi 4.2.3 dan home login yang
nanti akan digunakan sebagai simulasi serangan terhadap webserver dengan
menggunakan aplikasi scanner.

Gambar 3 Tampilan Website yang akan di scan wordpress Versi 4.2.3

Pada perancangan selanjutnya agar sistem berjalan lancar, maka proses

selanjutnya yaitu komputer hacker melakukan serangan dengan menggunakan
aplikasi dari kali linux yaitu WPScan dan Sqlmap, aplikasi ini menggunakan
script untuk melakukan scanning sehingga dapat masuk dan melakukan
penyusupan kedalam webserver tersebut, dan dengan dictionary atau wordlist
maka dengan mudah hacker dapat menemukan user password nya untuk masuk
kedalam dashboard website tersebut untuk melakukan peretasan atau hacking .

6
 Gambar 4 Alur Proses kerja

Gambar 4 merupakan alur dari proses cara kerja pada penelitian ini dimana
proses hacking dimulai dengan hacker menyediakan keywords atau wordlist yang
akan digunakan untuk mempermudah melakukan serangan pada webserver ,
selanjutnya proses pencarian username dan password menggunakan aplikasi yang
ada dengan melakukan scanning pada pada website dan apabila tidak berhasil
maka aplikasi tersebut tidak akan menampilkan hasil, sebaliknya apabila berhasil
maka proses akan menampilkan hasil dan berhasil menemukan user password
sesuai yang diinginkan oleh hacker .

7
 4. Hasil dan Pembahasan

Hasil implementasi sistem berdasarkan perancangan yang telah dilakukan,

dijelaskan dengan topologi seperti ditunjukkan pada Gambar 5.

Hacker melakukan proses

Website dalam keadaan aktif , bruteforce mengunakan
web memiliki home login, Firewall aplikasi scanning Wpscan
pada kali linux backtrack.

Gambar 5 Topologi Sistem brute forcing Pada Website

Pada gambar 5 menunjukan topologi sistem yang dibuat dengan

menganalogikan bahwa hacker melakukan penyerangan brute force dengan
melakukan scanning pada website untuk mencuri user dan password yang dimiliki
oleh webserver tersebut sehingga hacker dapat melakukan penyerangan dan
masuk kedalam dasbhoard website tersebut melalui brute force attack , meskipun
website tersebut mengaktifkan firewall tapi scanning masih bisa dilakukan oleh
hacker seperti yang ditunjukan pada gambar 5 .

8
 4.1 Proses pembuatan Wordlist pada Wpscan (Dictionary)

Untuk menyiapkan serangan bruteforce langkah pertama yang dilakukan

penulis yaitu menyiapkan wordlist atau password dictionary, wordlist atau
password dictionary merupakan kumpulan berbagai kombinasi password yang
nanti bisa membantu proses bruteforcing, dengan adanya wordlist ini maka akan
sangat membantu untuk melakukan sebuah serangan pada website yang akan di
bobol home loginnya, wordlist atau password dictionary bisa dibuat sendiri
secara manual maupun download secara online, untuk implementasi kali ini
penulis membuat menggunakan aplikasi crunch yang merupakan aplikasi kali
linux untuk membuat worldlist secara otomatis dan mudah .

kali > crunch <min> max<max> <characterset> -t <pattern> -o <output filename>

Gambar 6 Syntak dasar yang digunakan untuk membuat wordlist pada aplikasi crunch.

Berikut penjelasannya :

Min = Merupakan panjang password minimum

Max = Merupakan panjang password maksimum
Characterset = Merupakan karakter yang ditetapkan dan digunakan untuk
meghasilkan password
-t <pattern> = Merupakan Pola tertentu dari password yang dihasilkan
-o <output = Merupakan hasil output dari wordlist yang sudah dibuat
file>

Untuk memulai dengan menghasilkan beberapa daftar kata sederhana dan

melakukan scanning, diasumsikan bahwa hacker memperkirakan bahwa password
webserver tersebut memiliki password antara 4 sampai dengan 10 karakter,
sehingga bisa menghasilkan semua kemungkinan di crunch dengan perintah
seperti dibawah ini .

root@kali:~# crunch 4 10

Gambar 7 Perintah untuk menghasilkan beberapa kata sederhana .

9
 Perintah tersebut menghasilkan perkiraan krisis seberapa besar file
tersebut dan kemudian akan mulai untuk menghasilkan daftar. Untuk mengetahui
bahwa target selalu digunakan password angka antara 4 dan 10 karakter kemudian
bisa menghasilkan daftar lengkap kemungkinan sandi memenuhi kriteria ini dan
mengirim data wordlist ke file dalam direktori yang disebut numericwordlist.lst
pengguna root dengan perintah :

root@kali:~# crunch 4 10 12345678910 –o /root/numericwordlist.lst

Gambar 8 Perintah untuk menghasilkan daftar lengkap password .

Perintah dibawah untuk melihat dan memilih daftar kata secara kompleks
yang terdapat dalam crunch.

root@kali:~# cat /usr/share/rainbowcrack/charset.txt

Gambar 9 Tampilan daftar kata secara kompleks .

Dari daftar diatas dapat dilihat bahwa diasumsikan hacker memperkirakan
password yang akan dicari hanya menggunakan kombinasi angka huruf kecil dan
huruf besar . untuk membuat wordlist yang mengkombinasikan semua itu maka
dapat menggunakan perintah seperti pada gambar 10 .

root@kali:~# crunch 4 10 –f/usr/share/rainbowcrack/charset.txt

mixalpha-numeric –o/root/Desktop/passlist.txt

Gambar 10 membuat wordlist kombinasi angka dan huruf .

10
 4.2 Proses Scanning Brute Force Attack dengan WPscan
Setelah proses pembuatan wordlist selesai langkah selanjutnya yang akan
dilakukan yaitu melakukan serangan brute force, simulasi kali ini akan
menggunakan aplikasi scanning dari kali linux backtrack yaitu Wpscan, Wpscan
adalah scanner keamanan yang memeriksa keamanan sebuah website terutama
WordPress, menggunakan metode “black box”. Fitur utama dari aplikasi ini yaitu
melakukan scanning penacahan username, multithreaded password bruteforcing,
pencacahan versi plugin pada wordpress, dan pencacahan kerentanan pada sistem.

Pada gambar di bawah ini pertama kali yang akan dilakukan yaitu menemukan
user apa saja yang ada pada website tersebut yaitu dapat dengan menggunakan
perintah atau script seperti dibawah ini :

root@kali:~# wpscan --url http://www.skripsi.com –enumerate u

Gambar 11 Perintah untuk melakukan serangan pencarian username pada website skripsi.com

Script diatas akan menghasilkan proses scanning pada wpscan , proses

pencarian user akan secara otomatis dilakukan pada wordpress yang dituju yaitu
pada website www.skripsi.com , didalam proses kali ini hacker berhasil
menemukan 2 user yang mempunyai hak akses yang pertama login sebagai
username admin, dan yang kedua login sebagai username ganep .

Gambar 12 Hasil Serangan dengan menggunakan aplikasi Wpscan unuk pencarian username.

Setelah mendapatkan username yang aktif pada website

www.skripsi.com langkah selanjutnya yaitu dengan memanfaatkan username

11
yang sudah didapatkan, selanjutmya peretas akan melakukan serangan bruteforce,
untuk melakukan pencarian password yang ada pada username yang sudah
ditemukan ,sebagai simulai hacker akan melakukan scanning untuk mendapatkan
password dari usename admin, untuk melakukan scanning password, script yang
dapat digunakan yaitu sebagai berikut:
root@kali:~# wpscan --url http://www.skripsi.com –-worldlist
/root/Desktop/pass/passlist.txt –username admin

Gambar 13 Perintah untuk melakukan bruteforcing password pada username admin .

Gambar 14 Proses pencarian password bruteforcing sedang berlangsung.

Proses scanning pencarian password seperti gambar diatas sedang

berlangsung , secara otomatis aplikasi Wpscan melakukan serangan dengan
scanning dan bruteforcing password yang dimiliki username admin dengan cara
mengkombinasikan semua kemugkinan angka dan huruf yang ada dalam wordlist
yang sudah dibuat , proses ini membutuhkan waktu yang disesuaikan dengan
tingkat kerumitan password yang ada dan juga berpengaruh besar pada
kemampuan processor komputer yang digunakan oleh penyerang atau hacker .

12
 Gambar 15 Proses pencarian berhasil menemukan password dari username admin.

Setelah proses sudah selesai seperti gambar di atas, proses scanning

menunjukan bruteforcing berhasil dan didapatkan untuk username admin
menggunakan password admin12345. untuk membuktikan apakah passwod yang
didapat benar sesuai dengan password aslinya, hacker bisa mencoba memasukkan
username dan password kedalam home login pada website www.skripsi.com
untuk kemudian masuk kedalam wp-loginnya dan bisa masuk ke dashboard, dapat
dilihat seperti gambar di bawah .

13
Gambar 16 User dan password dimasukan kedalam home login website

Gambar 17 Login berhasil masuk kedalam dashoard

14
 Pada gambar diatas menunjukkan bahwa username dan password yang
didapatkan setelah melakukan bruteforcing berhasil menyusup kedalam website
www.skripsi.com, karena setelah melakukan uji coba username dan password
yang dimasukkan ke dalam home login dan bisa masuk kedalam dashboard
kemudian selanjutnya hacker bisa dengan leluasa melakukan proses hacking
terhadap website tersebut .

4.3 Proses Scanning dengan Modifikasi Sql Injection

Aplikasi Sqlinjection merupakan salah satu aplikasi yang digunakan untuk

melakukan scanning sebuah website tanpa menggunakan wordlist aplikasi ini
bekerja dengan memanfaatkan kerantanan dan celah keamanan pada php mysql
yang terdapat pada website tersebut, SQL Injection merupakan aplikasi scanner
yang bekerja dengan mengeksploitasi celah keamanan dan kerentanan pada php,
pada penelitian ini peneliti menggunakan sql injection yang sudah hadir dalam
database back-end web aplikasi, aplikasi ini memungkinkan melakukan ekpolitasi
dengan cara melakukan scanning terhadap karakter dan melakukan penyerangan
menggunkan script atau kode untuk menyerang kedalam database server.
Yang berbeda dari proses ini adalah manipulasi inputan yang tidak valid
kedalam titik dimana hacker telah berhasil masuk ke dalam database , maka
dengan menggunkan aplikasi seperti sqlmap sangat memungkinkan untuk lebih
jauh dan dengan mudah melakukan serangan pada SQL, contoh sederhana dari
query SQL adalah sebagai berikut :

Contoh sederhana dari query SQL yang sah adalah sebagai berikut :
SELECT id FROM users WHERE username = ‘Erik’ AND password =
‘QWERTY’

Selanjutnya, dengan menginputkan teks berikut di dalam field username dan

password maka hacker dapat membuat query sendiri kedalam database :

Username = ‘OR 1=1 --/ Password =

anything
Dan secara logika maka akan menghasilkan Query seperti berikut :

SELECT id FROM users WHERE username = ‘’ OR 1=1

Pada gambar di atas diartikan bahwa “ Kembali dari semua ID dimana Username
mempunyai nilai nol , atau 1=1” , String akan selalu bernilai benar dan dengan
demikian maka akan membuang semua ID pengguna yang di simpan.

Penyebab utama dari celah kerentanan SQL yaitu gabungan dari karakter
yang sama untuk membuat string , dalam hal ini scrip dari perintah database
merupakan solusi yang paling jelas untuk mengeksploitasi, dan menghindari

15
upaya untuk memindai dan menghapus inputan yang berbahaya yang dapat di
inject kedalam aplikasi web, ada sejumlah scanner otomatis yang memfasilitasi
penemuan kerentanan injeksi pada aplikasi web, untuk memulainya dapat
menggunakan aplikasi NPAM yang merupakan aplikasi scanner untuk
mengidentifikasi webserver, sistem operasi dan versi database server. Dapat
dilihat seperti pada gambar di bawah ini :

Gambar 18 Scan Zenmap hosting web server

Langkah selanjutnya Pada Scanning WPScan seperti yang ditunjukkan

dibawah ini digunakan untuk melakukan scanning dasar terhadap webserver, dan
dari scanning tersebut ditemukan plugins yang mempunyai beberapa kerentanan
pada SQL Injection yaitu pada plugins WordPress all Video Gallery, Selain
melakukan pencacahan kerentanan umum pada plugins , WPScan juga telah
memetakan satu-satunya nama pengguna WordPress yang ada di server yaitu
dapat menemukan satu username dengan nama erik.

16
 Gambar 19 Scanning Wpscan pada webserver

Selanjutnya untuk mengetahui celah vurnerability pada webserver dapat

menggunakan aplikasi acunetix web , dengan aplikasi ini dapat menemukan celah
kerentanan yang nanti akan dimanfaatkan untuk masuk kedalam database dan
dengan melalui celah tersebut telah ditemukan celah beberapa kerentanan pada
/wp-conten/plugins/all-video-galeryplaylist.php , dengan memanfaatkan celah
tersebut selanjutnya dilakukan scanning isi tabel yang ada di dalamnya dapat
dilihat seperti pada gambar di bawah ini :

Pada Gambar di bawah ini bisa dilihat dengan menggunakan aplikasi Acunetix
Web proses scanning dapat menemukan kerentanan yang ada pada /wp-
conten/plugins/all-video galeryplaylist.php .

17
 Gambar 20 Hasil dari Acunetix Web Vulnerability Scanner

Selanjutnya pada gambar di bawah ini menunjukkan bagaimana

kerentanan dapat dimanfaatkan, dan dalam contoh ini dengan menggunakan
aplikasi sqlmap yang merupakan aplikasi injeksi SQL yang sangat fleksibel dapat
mendeteksi dan mengeksploitasi kerentanan database, seperti yang terlihat pada
Gambar dibawah ini:

root@kali:10.0.1.22$ sqlmap -u 'http://10.0.1.22/wp-content/plugins/all-videogallery/

config.php?vid=1' -v 6
.
sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
Place: GET
Parameter: vid
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: vid=1 AND 6469=6469
Vector: AND [INFERENCE]
Type: UNION query
Title: MySQL UNION query (NULL) - 18 columns
Payload: vid=1 LIMIT 1,1 UNION ALL SELECT NULL, NULL, NULL, NULL,
NULL, NULL, NULL, NULL, NULL, NULL, Gambar NULL,
8 – SqlMap
CONCAT(0x3a6a71683a,0x624b70536b4a62776c41,0x3a7a65623a), NULL, NULL,
NULL, NULL, NULL, NULL#
Vector: UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, NULL, NULL,
NULL, NULL, NULL, NULL, [QUERY], NULL, NULL, NULL, NULL, NULL, NULL#
Type: AND/OR time-based blind
Title: MySQL > 5.0.11 AND time-based blind
Payload: vid=1 AND SLEEP(5)
Vector: AND
[RANDNUM]=IF(([INFERENCE]),SLEEP([SLEEPTIME]),[RANDNUM])

Gambar 21 - Scan SqlMap pada webserver

18
 Setelah dilakukan eksploitasi menggunakan sqlmap website akan di
konfirmasi secara manual menggunakan web browser dengan menginputkan kode
url seperti pad gambar di bawah ini , dalam hal ini berarti melakukan pengecekan
versi database, login username dan direktori data yang ada di dalam server .

Gambar 22 Verifikasi pada webbrowser

Selanjutnya dengan memanfaatkan celah yang sudah di verifikasi

melalui website diatas dapat dilakukan pengecekan kedalam database untuk
kemudian dapat meihat isi tabel dan kolom tertentu yang dapat diakses, pada
proses kali ini dapat menggunakan aplikasi Havij Sql , aplikasi ini digunakan
untuk melakukan pemetaan sederhana yang mendasari seluruh bagian dari
database MySQL termasuk daftar nama username dan password yang di lindungi
dengan enskripsi sekalipun juga dapat di pecahkan dengan aplikasi ini , contoh
dapat di lihat pada gambar di bawah ini dapat di jelaskan dengan memasukan
target pada /wp-conten/plugins/all-video galeryplaylist.php?vid=1 dan dilakukan
pemetaan pada MySQL Blind dapat ditemukan isi dari tables yang berisi banyak
informasi yang ada pada wp-users termasuk username dan password yang masih
dalam bungkusan enskripsi, dan pada titik ini artinya proses sudah berhasil
menemukan username dan password dari database server yang di inginkan dan
proses sudah berhasil melakukan scanning dengan memanfaatkan kombinasi
beberapa aplikasi scanning yang berbasis Sqlinjection.

19
 Gambar 23 Konfirmasi dan Eksploitasi dengan Havji

4.4 Analisa Perhitungan Serangan pada Wordpress

Setelah simulasi di atas akan timbul pertanyaan yaitu bagaimana proses

alogaritma brute force ini terjadi ? Analisa perhitungan serangan yang terjadi
sebagai berikut :
Dalam penelitian sebelumnya sudah di temukan rumus untuk menghitung
serangan brute force yaitu xn , Didapat xn dimana x = jumlah karakter yang di
support oleh program dan n = jumlah panjang password yang dicari, Cara kerja
yang dilakukan oleh Brute Force Attack Mengadaptasi Cara kerja dasar
Algoritma Brute Force yaitu dengan tidak cerdasnya mencoba satu persatu
kombinasi karakter dengan cara rekursif dari 1 sampai tak terhingga atau batas
yang ditentukan.

Username admin mempunyai password admin12345 dengan kombinasi

sebanyak 62 karakter dari 0-z , sehingga alogaritma perhitungannya dapat dilihat
pada tabel di bawah ini :

20
Password yang didapatkan mempunyai 10 karakter, Max Pencarian dengan 62
pangkat 10 yaitu ditemukan sebanyak 839299365868340224 kombinasi yang
dicari untuk menemukan password tersebut .
a d m i n 1 2 3 4 5
0-z
0-z 0-z
0-z 0-z 0-z
0-z 0-z 0-z 0-z
0-z 0-z 0-z 0-z 0-z
0-z 0-z 0-z 0-z 0-z 0-z
0-z 0-z 0-z 0-z 0-z 0-z 0-z
0-z 0-z 0-z 0-z 0-z 0-z 0-z 0-z
0-z 0-z 0-z 0-z 0-z 0-z 0-z 0-z 0-z
0-z 0-z 0-z 0-z 0-z 0-z 0-z 0-z 0-z 0-z

Perhitungan dari tabel diatas menjelaskan bahwa untuk menemukan satu karakter
password yang benar membutuhkan kombinasi seperti tabel di bawah ini :

Panjang password yang ditemukan = 10 karakter

Uji panjang = 1 diulang sampai 62 karakter (a-z, A-Z, 0-9)
Uji panjang = 2 diulang sampai 62 x 62 kombinasi
Uji panjang = 3 diulang sampai 62 x 62 x 62 kombinasi
Uji panjang = 4 diulang sampai 62x62x62x62kombinasi
Uji panjang = 5 diulang sampai 62x62x62x62x62kombinasi
Uji panjang = 6 diulang sampai 62x62x62x62x62x62kombinasi
Uji panjang = 7 diulang sampai 62x62x62x62x62x62x62kombinasi
Uji panjang = 8 diulang sampai 62x62x62x62x62x62x62x62kombinasi
Uji panjang = 9 diulang sampai 62x62x62x62x62x62x62x62x62kombinasi
Uji panjang = 10 diulang sampai 62x62x62x62x62x62x62x62x62x62kombinasi

21
 Kelemahan Brute Force Attack diatas adalah waktu yang dibutuhkan
relatif sangat lama. Untuk Password 1 karakter menggunakan 62 Karakter (26
Huruf kecil, 26 Huruf Besar, dan 10 angka) terdapat 62 kali looping dari 0 hingga
z. Untuk Password 2 Karakter menggunakan 62 x 62 kombinasi karakter dari 00
hingga zz. Itupun belum termasuk karakter khusus seperti ! (tanda seru), (/), garis
miring, dan karakter lainnya hingga menambah waktu pemrosesan. Waktu
pemrosesan pada program bergantung pada memori komputer yang digunakan
dan panjang password yang dicari.

4.5 Hasil dari Simulasi Penyerangan Brute Force

Dari semua simulasi yang telah dilakukan pada penelitian di atas maka
dapat di hasilkan sebuah Website yang memakai template wordpress sangat rentan
terhadap serangan Brute Force , kenapa demikan?
Template Wordpess mempunyai banyak fitur terutama pada fitur plugin , dari
penelitian di atas dapat diketahui bahwa dengan adanya plugin yang terinstall
pada template tersebut beberapa aplikasi scanning yang di pakai penyerang bisa
dengan mudah menemukan vunerability atau kelemahan atau celah pada website
melalui plugins tersebut, lewat plugin tersebut memungkinkan penyerang untuk
mengunduh file- file penting yang terdapat didalam website tersebut untuk
kemudian dimanfaatkan penyerang dan mengambil alih kendali pada website
tersebut .
Dari pembuktian yang peneliti lakukan terbukti bahwa plugin yang
digunakan pada video galery mempunyai celah atau bug sehingga dapat
dimanfaatkan oleh penyerang untuk melakukan scanning file wp-config.php pada
website yang berbasis wordpress, file wp-config.php merupakan file yang sangat
penting dan apabila jatuh ketangan orang yang salah akan sangat berbahaya
karena didalam file tersebut berisi tentang setting database yang digunakan pada
website, termasuk username, password, host, dan nama database yang digunakan,
dan jika sudah tau login databasenya banyak hal yang bisa dilakukan oleh
penyerang , dapat dilihat seperti pada gambar di bawah ini .

Gambar 24 dashboard login dari hasil Pencurian username dan password.

22
 5. Simpulan
Berdasarkan penelitian yang telah dibuat untuk menganalisa serangan
brute force attack dengan aplikasi scanning maka dihasilkan kesimpulan: 1)
Metode ini melakukan pengecekan karakter yang benar-benar sesuai dengan
dictionary, apabila terdapat ketidaksamaan, maka brute force tidak menghasilkan
output atau hasil yang diinginkan; 2) Algoritma Brute Force merupakan
penyelesaian sederhana untuk mendapat hasil yang maksimal, Algoritma Brute
Force Attack menjamin bahwa hasil yang dicari akan didapat dengan
mengesampingkan waktu pencarian; 3) Semakin rumit suatu algoritma maka
semakin besar celah (bug) yang terdapat pada algoritma tersebut; 4) Enkripsi kuat
yang modern juga dapat menahan brute force attack dengan memberikan proses
Brute Force Attack dengan waktu yang semakin lama. Dan saran untuk
pengembangan sistem ini adalah 1) mendapatkan waktu pencarian yang lebih
cepat dan hasil yang lebih akurat, modifikasi algoritma diharapkan dapat
dilakukan tanpa mengubah prinsip dasar dari algoritma brute force tersebut; 2)
Sangat tidak disarankan jika algoritma brute force dianggap cara yang tidak
efisien dan tidak efektif, justru kebanyakan orang menyukai algoritma ini
dikarenakan pola pemikiran yang sederhana menyerupai pola pikir manusia dalam
penyelesaian masalah. Algoritma Brute Force dapat menjadi pertimbangan dalam
pengembangan software baik itu digunakan sebagai algoritma dasar perangkat
lunak yang dipakai, ataupun algoritma pembanding dengan algoritma lainnya.

6. Daftar Pustaka

[1]. Pramudita, Krismaldi Eka. 2010. “Brute Force Attack dan Penerapanya
pada Password Cracking“. ITB Bandung ,: 1-4 .
[2]. Mesran. 2014. “Implementasi Algoritma Brute Force dalam Pencarian
Data Katalog Buku Perpustakaan”. Makalah Informasi dan Teknologi
Ilmiah (INTI). Vol: III, Nomor: 1, Mei 2014. ISSN : 2339-210X.
[3]. Saragih May Aprina. 2013. “Implementasi Algoritma Brute Force dalam
Pencocokan Teks Font Italic untuk Kata Berbahasa Inggris pada Dokumen
Microsoft Office Word”. Pelita Informatika Budi Darma. Vol: IV, Nomor:
3, Agustus 2013. ISSN: 2301-9425.
[4]. Rafizan, Onny. 2012. “Analisis Penyerangan Social Engineering”.
https://publikasi.kominfo.go.id/handle/54323613/801.(diakses 3 Agustus
2015).
[5]. Hidayani Nisa, Nurma Juni Sari, Suhatman Rahmat . 2013. “Perancangan
dan Implementasi Metode Brute Force untuk Pencarian String pada
Website PCR”. Politeknik Caltex Riau, : 1-4.
[6]. Hub Miloslav dan Capek Jan, 2010. “Security Evaluation of Passwords
Used on Internet”, Faculty of Economics and Administration, University
of Pardubice Pardubice, Vol: 5, No: 3, Czech Republic.

23
[7]. Syukrie.M. 2002. “101 Tip dan Trik Hacking”. Jakarta, PT Flex Media
Komputindo.
[8]. Wpscan Team. 2015. “ WPScan Is a Blackbox Wordpress Vurnerability
Scanner”. http://wpscan.org (diakses 13Agustus 2015).
[9]. WPScan Team. 2013. “Wordpress Vurnerability Scanner”.
http://omniref.com/github/wpscanteam/wpscan/2.1. (diakses 26 September
2015).
[10]. Occupytheweb. 2014. “How to Crack Passwords, Part4 (Creating a
Custom Wordlist with Crunch)”. http://null-byte.wonderhowto.com
(diakses 4 Oktober 2015).
[11]. Arts & Farces Internet. 2014. “Install and Use WPScan For Security
testing “ . http://www.farces.com/wikis/naked-server/wordpress/wpscan/
(diakses 18 November 2015).

[12]. Couture Erix. 2013. “Web Application InjectionVurnerabilities”. SANS

Institute,: 26-32.

24
XXV