Brute Force Login Credentials Database PhpMyAdmin
Dhimaz Purnama Adjhi
Summary
Brute Force is a threat technique in the digital world to enter into the a system of login credentials with the process of dabbling in all possible characters string until it gets the correct value. According to Fadli Hafizulhaq on https://exabytes.co.id there are various kinds of engineering methods that Brute Force can do, starting from Simple Manual Guessing Attack, Dictionary Attack, Hybrid Attacks, Rainbow Table Attacks, Reverse Attacks, and Credential Stuffing. On the resume of the final project this time the author will discuss and use Brute Force with the Dictionary Attack technique. As the name suggests, Dictionary Attack itself is a Brute Force technique that using the dictionary method and the attacker creates a list of passwords or credentials that might get the correct value in that dictionary that later will eliminate one by one using the help of automated bots.
Description
Untuk membuat script bot otomatis tersebut kita perlu setidaknya memiliki fundamental ilmu yaitu web scraping, dengan web scraping kita dapat dengan mudah mengambil parameter untuk diolah dan diproses ke dalam python scripting serta kita dapat melakukan olahan sebuah request pada web yang kita tuju. Sebelum kita membuat script bot Brute Force Dictionary Attack pada halaman kredensial login PhpMyAdmin, kita perlu menganalisa terlebih dahulu parameter-parameter apa saja yang diperlukan pada halaman kredensial login PhpMyAdmin untuk menunjang script bot Brute Force Dictionary Attack. Dan penulis menggunakan bantuan sebuah tool bernana Burpsuite. Download Burpsuite pada tautan berikut: https://portswigger.net/burp, lalu kemudian install dan jalankan. Buka tool aplikasi burp suite, pada temporary project klik next.
Kemudian pilih Use Burp defaults, lalu Start Burp
Pada pilihan tab windows pilih Proxy, kemudian intercept kita off kan terlebih dahulu kemudian pilih Open Browser.
Pada browser bawaan Burpsuite kita ketikan pada tab url pencarian “localhost/phpmyadmin” yang mana tautan tersebut sebuah web yang akan kita analisis untuk dicari parameternya sebagai acuan membuat bot script Brute Force Dictionary Attack untuk halaman kredensial login PhpMyAdmin. Pada kasus ini, kita login dengan kredensial password akun yang salah. Otomatis tool pada Burpsuite akan merespon apa yang telah kita lakukan di browser tadi dan akan menampilkan semua data informasi pada HTTP History. Kita cari dan temukan HTTP History yang telah kita lakukan tadi dan pada tab Request dan Response akan seperti pada gambar berikut:
Kita coba lakukan hal yang sama namun kita ubah password kredensialnya, dalam kasus ini kita masih menggunakan kredensial akun login password yang salah. Maka pada tab Request dan Response akan seperti pada gambar berikut:
Dari dua percobaan login di atas terlihat bahwasannya parameter set_session isi variabelnya selalu berubah dan token pun selalu berubah. Namun, nilai cookie pada halaman login PhpMyAdmin tersebut selalu sama dengan set_session. Dan kita cek struktur HTML dari halaman login PhpMyAdmin pun adalah sebagai berikut:
Strategi untuk melakukan brute force kita kali ini adalah mengambil nilai set_session dan token terlebih dahulu menggunakan regular expression kemudian lakukan brute force berdasarkan kamus wordlist untuk passwordnya. Pada kasus ini, penulis mengkonsep sang attacker telah mengetahui kredensial usernamenya, akan tetapi sang attacker tidak mengetahui kredensial passwordnya. Oleh karena itu, adapun semua data informasi maupun parameter yang telah digunakan, penulis merancang konsep bot scripting dan library yang penulis gunakan adalah request, re (regular expression), sys, dan lain sebagainya.
Re merupakan library python bultin module yang dapat digunakan untuk proses regular expression. Module tersebut dapat digunakan untuk pemrosesan string saat pengambilan konten atau data pada suatu website, dan re (regular expression) disini penulis gunakan untuk mengambil nilai set_session dan token untuk diolah dan diproses dengan menggunakan perintah “re.findall”. Sedangkan library request merupakan library python yang paling dasar untuk web scraping, fungsi dari library ini digunakan untuk membuat berbagai jenis permintaan HTTP seperti POST, GET, dan lain sebagainya. Penulis gunakan library request guna mengirim request pada halaman login kredensial PhpMyadmin dan lain sebagainya dengan menggunakan berbagai macam HTTP method, mulai dari GET dan POST.
Berikut adapun script untuk melakukan brute force pada halaman kredensial login PhpMyAdmin yang telah kita kumpulkan data dan parameter yang dibutuhkan serta menggunakan bahasa pemrograman Python adalah sebagai berikut:
Setelah itu, kita buat kamus wordlist untuk menampung kemungkinan nilai value password yang benar. Penulis menyimpannya pada folder yang sama pada script bot nya dan file kamus wordlist tersebut haruslah berekstensi txt.
Dan terakhir, kita jalankan scriptnya sebagai berikut:
Pada gambar diatas menunjukan bahwa bot brute force telah berhasil menemukan password pada halaman kredensial login PhpMyAdmin sang penulis. Adapun kredensial usernamenya ialah benar “admin” dan passwordnya ialah “123”.
DAFTAR PUSTAKA:
W3schools.com 2020. Python Regex. [Online] [Accessed 22 August 2022]
Exabytes.co.id 2021. Apa Itu Brute Force [Online] [Accessed 22 August 2022]
Dqlab.id 2021 Library Python untuk Web Scraping [Online] [Accessed 22 August 2022]
Informasi Course Terkait
Kategori: Cyber SecurityCourse: Python Scripting
