WP Install Setup Config

Hai gaes,
pada kesempatan kali ini gw mau kasih tutorial bagaimana caranya deface dengan method Wordpress Install Setup Config, tetapi sebelum masuk ketutorialnya alangkah baiknya tahu mengenai kerentanan ini.

Apa itu PoC wordpress install setup config?
PoC ini sebenarnya bukan bug atau kerentanan yang disebabkan oleh malfungsi dari kode program, melainkan kesalahan dari admin web itu sendiri. Jadi, sebuah website itu sudah terinstall CMS wordpress oleh sang admin, tetapi admin belum mengonfigurasi pengaturan cms wordpress yang installnya dengan benar.
Dengan kata lain, admin menginstall cms wordpress -> belum dikonfigurasi -> lalu meninggalkannya -> akan disetup di lain waktu -> website akan running.

Nah, pada step yang digaris bawahi itu merupakan kerentanan fatal yang dilakukan oleh admin, hacker bisa memanfaatkan kerentanan itu untuk melakukan setup konfigurasi websitenya disaat admin belum sempat mengonfigurasinya.

Sampe disini sudah faham?
Kalo belom faham coba baca lagi, dan cermati kata kata gweh.

Ok lanjut ke tutorialnya.
1. Pertama kalian dorking dulu di google untuk mendapatkan website yang rentan terhadap bug ini.

Untuk Dorknya:

Please,  Log in or  Register to view quote content!

Untuk Exploitnya:

Please,  Log in or  Register to view quote content!

Keterangan:
[site] : adalah website target
[path] : adalah direktori tempat menginstall wordpress
Untuk Dork diatas bisa dikembangin lagi sesuai dengan kreativitas dari kalian sendiri, agar resultnya semakin banyak yang didapat.

2. Setelah melakukan dorking dan mendapatkan target, pastikan kalo target tersebut vuln. Contohnya seperti ini

Dan contoh untuk target yang tidak vuln adalah seperti gambar dibawah ini:

Jika website tersebut vuln, yang dilakukan adalah memilih bahasa yang akan dilakukan setup instalasi, lalu klik continue.

3. Setelah itu, lakukan setup instalasi konfigurasi ke website target yang mengalami vuln tersebut.

Keterangan:

1. Site Title adalah judul website target yang akan diisntall
2. Username adalah informasi user yang akan digunakan untuk login
3. Password adalah informasi password yang akan digunakan untuk login
4. Your Email adalah email yang akan digunakan untuk melakukan recovery password, jika suatu saaat lupa
5. Install Wordpress adalah tombol untuk memproses instalasi dari data data yang di inputkan
6. Search Engine Visibility adalah pilihan opsional untuk website target tersebut terindeks ke google atau tidak. Jika dicentang maka web target tidak akan terindeks di google, sedangkan apa bila tidak dicentang adalah kebalikannya

ok gua gak bakal ganggu situs ac.id itu karena kampusnya dekat rumah gua 

4. Okeh, kalau berhasil terinstall maka akan muncul gambar seperti dibawah ini. Lalu klik Login

 gua ambil ss nya tutornya haxor.id karena gua gak berani exploit yang ac.id karena kampusnya dekat sama rumah gua

Jika tidak seperti gambar diatas maka target tidak vuln. Skip saja, cari target lain.

5. Lakukan login admin menggunakan informasi akun yang sebelumnya dibuat.

6. selamat anda bisa login ke halaman adminya

7. Untuk Upload Shell dan Deface di CMS wordpress bisa melihat ke tutorial selanjutnya.