Cara Terbaru Hack Login Form Website Dengan Burp Suite dan THC-Hydra

Hack Login Form Website adalah salah satu trick hacking yang sering digunakan hacker unutk menjebol suatu halaman login pada website. Menjebol website memang sangatlah mudah jika kita mengetaui triknya, salah satu trik yang sering digunakan adlah menggunakan alat yang namanya shodan yang mampu mendeteksi kerentanan website secara otomatis.

Tentu saja untuk menjebol password atau kata sandi online bisa menggunakan trik yaitu: Tamper Data dan THC-Hydra. Tetapi kali ini ada trik lagi untuk menjebol kata sandi (password) pada suatu website atau halaman login yaitu dengan bantuan THC-Hydra + Burp Suite.

Alat hacking tersebut bisa didapatkan dengan menginstal kali linux di komputer atau laptop atau bisa menginstal kali linux di HP Android. Berikut adalah langkah-langkahnya:

Tutorial Terbaru Hack Login Web Form dengan Burp Suite dan THC-Hydra

1. Buka THC-Hydra

Jalankan Kali Linux di komputer/Android dan buka Applications - Kali Linux - Password Attacks - Online Attacks - hydra

2. Mencari Target Form Website

Untuk membobol user + Password untuk login ke halaman form web, kalian perlu menentukan suatu parameter halaman login formulir web dan bagaimana dorm tersebut merespons login yang gagal. Untuk Parameter kunci yang perlu kalian perhatikan adalah:

• Alamat IP situs web
• URL
• jenis form
• Tempat kotak memasukkan username atau nama pengguna
• Tempat kotak memasukkan password
• pesan gagal login

Kita bisa mengetahui hal tersebut dengan proxy, bisa menggunakan Tamper Data ataupun tools yang kita gunakan yaitu Burp Suite.

3. Menggunakan Burp Suite

Untuk membuka Burp SUite pergi ke Applications - Kali Linux - Web Applications - Web Application Proxies - Burp suite.

Kemudian, kita bisa melakukan testing di halaman login form website Damn Vulnerable Web Application (DVWA). Kalian bisa menjalankannya dari sistem operasi Metasploitable (tersedia di Rapid7) dan kemudian dihubungkan ke halaman loginnya.

Kita hanya membutuhkan Proxy dan Intercept pada Burp Suite kalian harus memastikan terlebih dahulu untuk mengklik tab Proxy yang ada pada bagian atas dan kemudian Intercept di baris kedua tab. Pastikan untuk "Intercept aktif".

Dan yang terakhir, kita hanya perlu melakukan mengkonfigurasi browser web IceWeasel untuk memakai proxy. Langsung saja pergi kebagian Edit - Preferences - Advanced - Network - Settings untuk membuka Connection Settings,

Konfigurasikan IceWeasel agar dapat memakai 127.0.0.1 port 8080 sebagai proxy dengan mengetikkan 127.0.0.1 pada bidang HTTP Proxy, 8080 untuk bagian bidang Port dan hapus juga beberapa informasi apa pun yang ada di bidang No Proxy for yang terletak pada bagian bawa serta pilih tombol "Use this proxy server for all protocols".

4. Mencoba untuk melakukan Respons Masuk yang gagal

Sekarang, kalian bisa mencoba untuk login dengan username OTW dan password OTW. Pada saat kita akan melakukannya, BurpSuite akan segera memotong permintaan tersebut lalu akan memberitahukan kepada kita untuk bidang utama yang kita butuhkan untuk melakukan hack pada form website dengan THC-Hydra.

Setelah mengumpulkan data tentang login dari informasi ini, kalian bisa langsung meneruskan permintaan dari Burp Suite dengan cara menekan tombol "Forward" yang terletak pada bagian kiri.

DVWA nanti akan kembali menunjukkan sebuah pesan bahwa "Login gagal." Sampai sini kita bisa mengetahui beberapa informasi yang kita butuhkan untuk melakukan serangan dengan memakai THC-Hydra untuk menghack halaman login form website.

Jika kita mendapatkan pesan gagal login, hal tersebut menandakan kita bisa menyerangnya dengan menggunakan bantuan tools THC-Hydra untuk menjebol halaman login pada suatu website.

Pada contoh ini kita mendapatkan pesan gagal dengan berbasis teks, akan tetapi tidak pesan gagal tersebut bisa saja berupa cookie atau lainya intinya menunjukkan kegagalan saat login.

5. Perintah Menggunakan THC-Hydra

Sekarang saatnya untuk menyerang dengan menggunakan beberapa perintah berikut:

hydra -L username list -p password list IP Address form parameters failed login message

Namun jika dilihat dari informasi yang kita kumpulkan dari Burp Suite, maka perintahnya menjadi terlihat seperti ini adalah:

hydra -L wordlist -P password list 192.168.1.101 http-post-form "/dvwa/login.php:username=^USER^ password=^PASS^ Login=Login:Login failed"

Perlu untuk diperhatikan lagi adalah penggunan huruf besar L dan l adalah

• L: multi username
• l: untuk 1 username

Pada contoh ini saya mencoba untuk usernya admin sehingga saya memakai huruf  l kecil saja.

6. Merancang Wordlist

Langkah berikutnya kalian harus membuat daftar kata untuk password atau login yang biasa disebut Wordlist pada dunia hacker. Kalian bisa membuat Wordlist dengan bantuan Crunch atau bisa membuat sendiri yang nantinya akan disimpan menjadi format txt. Tetapi disini saya akan mempraktekkan dengan memakai wordlist bawaan kali linux. Ketikkan perintah di terminal:

locate wordlist

Kalian bisa merancang wordlist sendiri dengan mengira-ngira passwordnya apa bisa dilihat dari biodata atau data pribadi user yang akan ditembak. Tetapi disini saya memakai daftar kata bawaan yang memiliki kurang dari 1.000 kata yang terletak di:

/usr/share/dirb/wordlists/short.txt

7. Memulai serangan

Jika kita sudah mengetahui pola dan perintah apa yang akan kita jalankan, sekarang buka Terminal kali linux lalu ketikkan perintah: hydra -l admin -P /usr/share/dirb/wordlists/small.txt 192.168.1.101 http-post-form "/dvwa/login.php:username=^USER^&password=^PASS^&Login=Login:Login failed" -V Keterangan:

• -l menunjukkan satu nama pengguna (gunakan -L untuk daftar username yang banyak dan ingin dicoba)
• -P penggunaan kata sandi (Wordlist)
• http-post-form jenis formulir
• /dvwa/login-php adalah URL halaman login
• username adalah kotak form di mana nama login username dimasukkan
• ^USER^ perintah untuk memakai username atau daftar pada kotak bidang
• password adalah kotak formulir tempat password dimasukkan (bisa jadi passwd, pass, dll.)
• ^PASS^ perintah Hydra untuk memakai daftar password yang sudah dipersiapkan
• Login menunjukkan kepada Hydra suatu pesan gagal login
• Login failed adalah sebuah pesan gagal login jika formulir login dikembalikan
• -V adalah verbose yang menunjukkan setiap upaya

8. Menunggu hingga proses hacking selesai

Disini kita memakai perintah -V, Supaya bisa menunjukkan setiap upaya yang akan dilakukan dan jika berhasil maka tampilan akan menunjukkan password berhasil di HACK!

THC-Hydra merupakan salah satu alat yang sangat efektif untuk menjebol halaman login website. Kunci keberhasilan bisa dicapai jika formulir merespons secara berbeda terhadap login yang gagal dibandingkan dengan login yang berhasil seperti pada contoh diatas.

Apabila mencoba dengan pesan berhasil atau sukses, kalian bisa merubah pesan gagal login tadi dengan pesan sukses dengan merubah parameter perintah  "S=pesan sukses" contohnya: hydra -l admin -P /usr/share/dirb/wordlists/small.txt 192.168.1.101 http-post-form "/dvwa/login.php:username=^USER^ password=^PASS^ S=success message" -V

Terdapat juga beberapa server website akan melihat adanya upaya hack dengan menentukan seberapa besar gagal login dan website akan memblokir tindakan percobaan pembobolan ini. Pada kasus ini kalian bisa memanipulasinya dengan menambah waktu tunggu agar tidak terdeteksi server website karena mencoba untuk menerobos login.

Kalian bisa menambahkan parameter -w, sehingga jika mencoba login gagal tidak langsung menyerang tetapi menunggu beberapa menit atau detik. Disini saya kan mencoba untuk menunggu 10 detik di antara percobaan login jika memang gagal untuk login. Berikut perintahnya: hydra -l admin -P /usr/share/dirb/wordlists/small.txt 192.168.1.101 http-post-form "/dvwa/login.php:username=^USER^ password=^PASS^ Login=Login:Login failed" -w 10 -V

Saya sangat merekomendasikan mencoba dan mengotak-ngatik sendiri pemakain THC-Hydra pada form halaman login. Demikan tutorial ini dibuat hanya untuk metode pembelajaran saja. Jika disalahgunakan bisa ditanggung sendiri akibatnya.