I

Analisa Brute Force Attackmenggunakan Scanning Aplikasi pada HTTP Attack

Artikel Ilmiah

Peneliti :

Hanif Sidiq Pratita (672010194)Dr. Irwan Sembiring, S.T., M.Kom.

Program Studi Teknik InformatikaFakultas Teknologi Informasi

Universitas Kristen Satya WacanaSalatiga

Februari 2016

II

III

IV

V

VI

VII

Analisa Brute Force Attackmenggunakan Scanning Aplikasi pada HTTP Attack

1) Hanif Sidiq Pratita, 2) Irwan SembiringFakultas Teknologi Informasi

Universitas Kristen Satya WacanaJl. DIPonegoro 52-60, Salatiga 50771, Indonesia

Email: 1) hanif.sidiqpratita@gmail.com, 2) irwan@staff.uksw.edu

AbstractWith the development of today's world, a website is already popular incyberspace. It makes the website become the target of hackers that may bedetrimental to the exploitation of the website itself. To know how to hack awebsite with Brute Force Atack, then be made of a analysis of brute force attack.Brute force is an algorithm that solve a problem with a very simple and evident.Solving problems password cracking by using a brute force algorithm will placeand looking for all the possibilities for password combinations to the input ofcharacters and specified length of the password. certainly with a lot ofcombinations of passwords. In this experiment the process of brute force using ascanning application programs, so in this manner can be viewed clearly theprocess that happens when the website be attacked with a brute force attackprocess.

AbstrakDengan berkembangnya dunia saat ini, sebuah website sudah populer di duniamaya. Hal itu membuat website menjadi sasaran peretas untuk melakukantindakan pengeksploitasian yang dapat merugikan website itu sendiri. Untukmengetahui bagaimana sebuah website di jebol atau dengan kata lain di hackdengan teknik Brute Force, maka dibuatlah sebuah analisa brute force attack .brute force adalah algoritma yang memecahkan masalah dengan sangat sederhana,langsung, dan dengan cara yang jelas . Penyelesaian permasalahan passwordcracking dengan menggunakan algoritma brute force akan menempatkan danmencari semua kemungkinan password dengan masukan karakter dan panjangpassword tertentu tentunya dengan banyak sekali kombinasi password. Dalampenelitian kali ini proses brute force menggunakan program Aplikasi Scaning,maka dengan cara ini dapat dilihat secara jelas proses yang terjadi ketika sebuahwebsite di serang dengan proses brute force .

Kata Kunci : Website, Peretas, Brute Force, password cracking, Scaning.1) Mahasiswa Program Studi Teknik Informatika, Fakultas Teknologi Informasi, Universitas

Kristen Satya Wacana Salatiga2)

Staff Pengajar Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana Salatiga

1

1. Pendahuluan

Pada saat ini dunia maya sudah berkembang pesat disegala bidangkhususnya di bidang website., saat ini dengan adanya teknologi seperti http danhttps maka dapat membantu dan mempermudah pekerjaan manusia dalam bidangkomunikasi dan informasi dapat cepat di sajikan dengan tepat dan akurat Seiringsemakin berkembangnya teknologi, semakin berkembang juga kejahatan yangterjadi, seperti penyadapan data web defaching, serangang brutal atau disebut jugabrute force dan lain – lain dari yang merugikan dan sebagai keamanan data bagipara pengguna internet terhadap pengguna http, penyerangan dapat dilakukandengan menggunakan software dan juga menggunakan dengan cara cara lainuntuk melakukan serangan terebut . untuk serangan yang terjadi secara brutal ataubrute force bisa menggunakan beberap aplikasi yang terdapat dalam sistemoperasi kali linux , teknik password cracking yang sering disebut sebagai teknikserangan brute force tersebut biasa digunakan oleh para hacker untuk melakukanserangan pada http maupun https . Dengan Teknik serangan brute force makasistem keamanan sebuah website tersebut dapat ketahui dengan caramenggunakan percobaan terhadap semua kunci dan semua aktifitas yangdilakukan oleh pengguna http juga dapat diketahui dan dengan teknik ini makaserangan brute force dapat di implementasikan oleh para hacker dengan lebihcepat.

Brute Force attack adalah sebuah metode untuk menjebol kode rahasia(yaitu, mendekripsi sebuah teks yang telah terenkripsi) dengan mencoba semuakemungkinan kunci yang ada. Feasibility dari sebuah brute force attacktergantung dari panjangnya cipher yang ingin dipecahkan , dan jumlah komputasiyang tersedia untuk penyerang. Salah satu contohnya programnya bernamaWPScan yaitu Password Cracker mencoba semua kombinasi yang mungkin darikarakter yang telah didefinisikan sebelum atau set karakter yang kustom melawansebuah password yang telah terenkripsi di brute force dialog, kuncinya adalahmencoba semua kemungkinan password. Dikutip dari jurnal Krisnadi EkaPramudita yang berjudul “ Brute Force Attack dan Penerapannya pada PasswordCraking “.

Berdasarkan latar belakang masalah tersebut, maka dilakukan penelitianuntuk analisa serangan brute force yang ditujukan kepada para pengguna websiteresmi maupun pengguna website local karena sangat di butuhkan kemampuanuntuk mengetahui dan bagaimana cara kinerja serangan brute force tersebutsehingga para pengguna dapat memikirkan bagaimana password website merekatidak dapat dengan mudah di hack oleh orang lain .

Karena luasya cakupan mengenai kejahatan brute force maka dibuat batasan-batasan masalah pada penelitian ini meliputi beberapa hal, yaitu sebagai berikut :

2

1. Peneliti ini menganalisi website yang sudah diserang menggunakan teknikbrute force pada jaringan lokal atau pada webserver dan website onlineyang mempunyai celah keamanan mysql untuk di buat untuk simulasi.

2. Peneliti ini hanya melakukan serangan untuk melakukan simulasipencurian user dan password yang ada pada website .

3. Setelah penyerang sudah mendapatkan password selanjutnya akanmelakukan analisa sistem kerja pada aplikasi yang di gunakan untuk bruteforce.

2. Kajian pustaka

Penelitian tentang Brute Force Attack sudah banyak diteliti oleh orang yangmahir di bidang keamanan jaringan, salah satunya tentang “Brute Force Attackdan Penerapanya Pada Password Cracking ”yang ditulis oleh Krisnaldi EkaPramudita, penelitian yang dilakukan mengulas tentang algoritma brute forcedalam lingkup teknologi informasi dan penerapannya dalam membobol ataumeretas sebuah password misalnya password untuk login facebook atauwordpress. Algoritma brute force yang umumnya dipakai untuk meretas kasuspassword seperti ini umumnya disebut Brute Force Attack .

Brute force attack menggunakan sebuah himpunan karakter atau teks yangakan dipakai untuk referensi karakter-karakter dari password yang ingindibobol/diretas. Himpunan karakter yang dipakai akan menjadi sebuah ukurankeefektifan dari algoritma itu sendiri . Semakin banyak anggota himpunankarakter ini, tentunya persentasi password cracking untuk sebuah password dapatdiretas akan meninggi. Namun, makin banyak karakter yang ada di dalamhimpunan itu harus dibayar dengan waktu pengerjaan yang lebih lama. BruteForce ini sudah mulai dikembangkan untuk meretas password. Salah satupengembangannya adalah dictionary attack yang menggunakan algoritma bruteforce tetapi himpunan karakternya berasal dari sebuah kamus (misalnya KBBI)sehingga memungkinkan untuk memangkas waktu yang diperlukan Brute ForceAttack pada umumnya walaupun ber-drawback tidak ditemukannya password. [1].

Berdasarkan penelitian terdahulu tentang “implementasi alogaritma bruteforce dalam pencarian data katalog buku perpustakaan” yang membahastentang pola pencocokan kumpulan karakter huruf/kata (selanjutnya disebutString) yang satu dengan String yang lainnya menggunakan Algoritma BruteForce atau biasa disebut Algoritma Naïf (Naïve Algorithm) dan cara penyelesaianmasalah pencocokan pola String dengan Algoritma Brute Force tergolongtermasuk cara penyelesaian yang tidak cerdas karena memiliki cara kerja yangsederhana, String Matching merupakan salah satu algoritma yang digunakanuntuk mempercepat proses pencarian kata yang diinginkan. String matchingdibagi menjadi dua, yakni exact matching dan heuristic atau statistical matching.Algoritma string matching telah sering digunakan sebelumnya seperti contoh padaproses pencocokan string berdasarkan persamaan teks data yaitu Brute Force.

3

Dalam hal ini, dipilih algoritma brute force karena algoritma ini dapat digunakanuntuk melakukan pencarian string atau teks [2].

Berdasarkan pada penelitian selanjutnya, dari jurnal yang ditulis oleh OniRafizan yang terkait dengan “Analisa penyerangan social enginering” . makadilakukan pengembangan penelitian yang membahas tentang analisa sebuahserangan brute force dengan program aplikasi dari sistem operasi kali linux yaituAplikasi Scanning yang nantinya akan melakukan serangan terhadap sebuahwebserver yang sudah di rancang sebelumnya dan penelitian ini menghasilkansebuah analisa yang nantinya dapat membantu para pengguna website yangterkena serangan brute force untuk mengetahui bagaimana cara kerja proses bruteforce berlangsung. WPScan dan Sql Ijection adalah scanner keamanan yangmemeriksa keamanan Website menggunakan metode “blackbox” fiturnya yaituuntuk pencacahan username dan multithreaded password untuk prosesbruteforcing, pencacah versi plugin Website dan pencacahan kerentanan sistem.Disini kita akan menunjukkan bagaimana melakukan audit keamanan padainstallasi Website dengan nama pengguna yang memiliki password lemah danmenggunakan blog plugin yang rentan. [3].

Serangan brute-force adalah sebuah teknik serangan terhadap sebuahsistem keamanan komputer yang menggunakan percobaan terhadap semua kunciyang mungkin. Pendekatan ini pada awalnya merujuk pada sebuah programkomputer yang mengandalkan kekuatan pemrosesan komputer dibandingkankecerdasan manusia. Sebagai contoh, untuk menyelesaikan sebuah persamaankuadrat seperti x²+7x-44=0, di mana x adalah sebuah integer, denganmenggunakan teknik serangan brute force, penggunanya hanya dituntut untukmembuat program yang mencoba semua nilai integer yang mungkin untukpersamaan tersebut hingga nilai x sebagai jawabannya muncul. Istilah brute forcesendiri dipopulerkan oleh Kenneth Thompson, dengan mottonya: "When in doubt,use brute-force" (jika ragu, gunakan brute-force).Secara sederhana, menebak password dengan mencoba semua kombinasi karakteryang mungkin. Brute force attack digunakan untuk menjebol akses ke suatu host(server/workstation/network) atau kepada data yang terenkripsi. Metode inidipakai para cracker untuk mendapatkan account secara tidak sah, dan sangatberguna untuk memecahkan enkripsi. Enkripsi macam apapun, seperti Blowfish,AES, DES, Triple DES dsb secara teoritis dapat dipecahkan dengan brute-forceattack. Pemakaian password sembarangan, memakai password yang cumasepanjang 3 karakter, menggunakan kata kunci yang mudah ditebak,menggunakan password yang sama, menggunakan nama, memakai nomortelepon, sudah pasti sangat tidak aman. Namun brute force attack bisa sajamemakan waktu bahkan sampai berbulan-bulan atau tahun bergantung daribagaimana rumit passwordnya [4].

4

Gambar 1 merupakan gambar perbandingan string Brute Force attackmatching antara pattern dengan text per karakter dengan pseudocode berikut :

do if (text letter == pattern letter)compare next letter of pattern to nextletter of textelse move pattern down text by one letterwhile (entire pattern found or end of text)

Exhaustive key search cracking mungkin saja memerlukan waktu yang sangatpanjang untuk berhasil, tetapi jika character setnya sidah benar sesaui password,maka tinggal hanyalah jadi masalah waktu .

Pada gambar di bawah ini menunjukkan perbandingan antara panjang passworddengan jumah permutasi .

Gambar 1 Perbandingan panjang password dengan jumlah permutasi.

Dalam subbab ini memperlihatkan aprosimaksi waktu yang diperlukansebuah komputer atau sebuah cluster komputer untuk menebak password. Gambar- gambar di bawah adakah aprosimaksi dan waktu maksimal untuk menebaksebuah password menggunakan keysearch attack biasa. Mungkin saja kadang adasebuah tebakan beruntung yang benar tanpa harus mencoba kombinasinya.

5

3. Metode Penelitian Sistem

Berdasarkan pada tujuan yang ingin dicapai, penelitian ini dirancang denganpendekatan “Penelitian dan Pengembangan”, artinya suatu program penelitianditindak lanjuti dengan program pengembangan untuk perbaikan ataupenyempurnaan. Metode yang digunakan yaitu model PPDIO dengan terbagidalam enam tahapan, yaitu: (1) Prepare untuk penelitian, (2) Planning, (3) Design(4) Impementasi (5) Operate dan yang terakhir yaitu (6) Optimize. Adapuntahapan yang dilakukan ditunjukkan pada Gambar 2.

Gambar 2 Tahapan Penelitian

Tahap pertama : Prepare dilakukan untuk mengumpulkan data dengan caramengumpulkan artikel dan jurnal yang berkaitan dengan keamanan jaringan,brute force, dan cara membangun webserver sederhana serta penelitian terdahulutentang Penerapan brute force ;Tahap kedua : Planning atau perencanaan bagaimana nantinya penelitian inidihasilkan .Tahap ketiga : Design untuk membuat sususan sesuai dengan rencana yang akandi lakukan penelitian.Simulasi Serangan meliputi proses melakukan serangan terhadap webserver yangtelah di bangun menggunkan tehnik Brute Force dan Sql InjectionTahap keempat : Implement atau perancangan sistem dan perangkat meliputiproses perancangan membuat webserver menggunkan wordpress dan prosesinstallasi aplikasi untuk scanning Brute Force.Tahap kelima : Operate pengujian Simulasi dan analisis hasil penyerangan, yaitudilakukan pengujian dengan cara menganalisa cara kerja Wpscan dan SqlMapyaitu aplikasi yang digunakan untuk proses penyerangan.Tahap keenam : Hasil yang telah di capai akan kembali mengulang dari awaljika sudah sampai ke tahap kelima tidak ada perkembangan .

6

Hardware dan software yang digunakan dalam membangun sistem ini memilikispesifikasi : 1) CPU Intel Core i3-2350M., 2.3Ghz, memory RAM 4GB;

2) Wi-fi speedy dan wi-fi ID;3) Aplikasi WPScan Pada KaliLlinux, Apache, Bind9;4) Database yang digunakan phpmyadmin, mysql;5) Web browser yang digunakan Mozilla Firefox;6) Bahasa pemrograman dalam membuat web adalah php.7) Wordpress yang di gunakan versi Wordpress 4.2.3

Pada perancangan selanjutnya yang dilakukan adalah menginstallwebserver pada Ubuntu 10.0 dan mencari website secara online yang mempunyaikerentanan pada celah sql databasenya untuk dilakukan scanning menggunakanwpscan dan sql injection . pada webserver dengan menggunakan Apache, bind9dan bahan-bahanya untuk membuat suatu simulasi penyerangan terhadapkelemahan webserver. Setelah itu untuk membuat contoh tampilan web utamadengan menggunakan wordpress versi 4.2.3 yang memiliki halaman login yangnantinya akan di lakukan penyerangan terhadap hamalan login tersebut sehinggapenyerangan brute force dapat menemukan user admin dan user lain dan bagianyang paling penting yaitu passwordnya untuk kemudian masuk kedalamdashboard dan menyusup masuk kedalam website serta dapat melakukanperetasan website tersebut . pada proses simulasi penyerangan kali ini simulasipenyerangan menggunakan salah satu program aplikasi bawaan dari kali linuxyang merupakan sistem operasi kembangan dari backtrack yaitu WPScan danbeberapa aplikasi Sql Injection yang telah di install pada windows .

Gambar 3 merupakan tampilan wordpress versi 4.2.3 dan home login yangnanti akan digunakan sebagai simulasi serangan terhadap webserver denganmenggunakan aplikasi scanner.

Gambar 3 Tampilan Website yang akan di scan wordpress Versi 4.2.3

Pada perancangan selanjutnya agar sistem berjalan lancar, maka prosesselanjutnya yaitu komputer hacker melakukan serangan dengan menggunakanaplikasi dari kali linux yaitu WPScan dan Sqlmap, aplikasi ini menggunakanscript untuk melakukan scanning sehingga dapat masuk dan melakukanpenyusupan kedalam webserver tersebut, dan dengan dictionary atau wordlistmaka dengan mudah hacker dapat menemukan user password nya untuk masukkedalam dashboard website tersebut untuk melakukan peretasan atau hacking .

7

Gambar 4 Alur Proses kerja

Gambar 4 merupakan alur dari proses cara kerja pada penelitian ini dimanaproses hacking dimulai dengan hacker menyediakan keywords atau wordlist yangakan digunakan untuk mempermudah melakukan serangan pada webserver ,selanjutnya proses pencarian username dan password menggunakan aplikasi yangada dengan melakukan scanning pada pada website dan apabila tidak berhasilmaka aplikasi tersebut tidak akan menampilkan hasil, sebaliknya apabila berhasilmaka proses akan menampilkan hasil dan berhasil menemukan user passwordsesuai yang diinginkan oleh hacker .

8

4. Hasil dan Pembahasan

Hasil implementasi sistem berdasarkan perancangan yang telah dilakukan,dijelaskan dengan topologi seperti ditunjukkan pada Gambar 5.

Gambar 5 Topologi Sistem brute forcing Pada Website

Pada gambar 5 menunjukan topologi sistem yang dibuat denganmenganalogikan bahwa hacker melakukan penyerangan brute force denganmelakukan scanning pada website untuk mencuri user dan password yang dimilikioleh webserver tersebut sehingga hacker dapat melakukan penyerangan danmasuk kedalam dasbhoard website tersebut melalui brute force attack , meskipunwebsite tersebut mengaktifkan firewall tapi scanning masih bisa dilakukan olehhacker seperti yang ditunjukan pada gambar 5 .

Firewall

Website dalam keadaan aktif ,web memiliki home login,

Hacker melakukan prosesbruteforce mengunakanaplikasi scanning Wpscanpada kali linux backtrack.

9

4.1 Proses pembuatan Wordlist pada Wpscan (Dictionary)

Untuk menyiapkan serangan bruteforce langkah pertama yang dilakukanpenulis yaitu menyiapkan wordlist atau password dictionary, wordlist ataupassword dictionary merupakan kumpulan berbagai kombinasi password yangnanti bisa membantu proses bruteforcing, dengan adanya wordlist ini maka akansangat membantu untuk melakukan sebuah serangan pada website yang akan dibobol home loginnya, wordlist atau password dictionary bisa dibuat sendirisecara manual maupun download secara online, untuk implementasi kali inipenulis membuat menggunakan aplikasi crunch yang merupakan aplikasi kalilinux untuk membuat worldlist secara otomatis dan mudah .

Gambar 6 Syntak dasar yang digunakan untuk membuat wordlist pada aplikasi crunch.

Berikut penjelasannya :

Min

Max

Characterset

-t <pattern>

-o <output

file>

= Merupakan panjang password minimum

= Merupakan panjang password maksimum

= Merupakan karakter yang ditetapkan dan digunakan untuk

meghasilkan password

= Merupakan Pola tertentu dari password yang dihasilkan

= Merupakan hasil output dari wordlist yang sudah dibuat

Untuk memulai dengan menghasilkan beberapa daftar kata sederhana danmelakukan scanning, diasumsikan bahwa hacker memperkirakan bahwa passwordwebserver tersebut memiliki password antara 4 sampai dengan 10 karakter,sehingga bisa menghasilkan semua kemungkinan di crunch dengan perintahseperti dibawah ini .

Gambar 7 Perintah untuk menghasilkan beberapa kata sederhana .

kali > crunch <min> max<max> <characterset> -t <pattern> -o <output filename>

root@kali:~# crunch 4 10

10

Perintah tersebut menghasilkan perkiraan krisis seberapa besar filetersebut dan kemudian akan mulai untuk menghasilkan daftar. Untuk mengetahuibahwa target selalu digunakan password angka antara 4 dan 10 karakter kemudianbisa menghasilkan daftar lengkap kemungkinan sandi memenuhi kriteria ini danmengirim data wordlist ke file dalam direktori yang disebut numericwordlist.lstpengguna root dengan perintah :

Gambar 8 Perintah untuk menghasilkan daftar lengkap password .

Perintah dibawah untuk melihat dan memilih daftar kata secara kompleksyang terdapat dalam crunch.

Gambar 9 Tampilan daftar kata secara kompleks .

Dari daftar diatas dapat dilihat bahwa diasumsikan hacker memperkirakanpassword yang akan dicari hanya menggunakan kombinasi angka huruf kecil danhuruf besar . untuk membuat wordlist yang mengkombinasikan semua itu makadapat menggunakan perintah seperti pada gambar 10 .

Gambar 10 membuat wordlist kombinasi angka dan huruf .

root@kali:~# crunch 4 10 12345678910 –o /root/numericwordlist.lst

root@kali:~# cat /usr/share/rainbowcrack/charset.txt

root@kali:~# crunch 4 10 –f/usr/share/rainbowcrack/charset.txtmixalpha-numeric –o/root/Desktop/passlist.txt

11

4.2 Proses Scanning Brute Force Attack dengan WPscan

Setelah proses pembuatan wordlist selesai langkah selanjutnya yang akandilakukan yaitu melakukan serangan brute force, simulasi kali ini akanmenggunakan aplikasi scanning dari kali linux backtrack yaitu Wpscan, Wpscanadalah scanner keamanan yang memeriksa keamanan sebuah website terutamaWordPress, menggunakan metode “black box”. Fitur utama dari aplikasi ini yaitumelakukan scanning penacahan username, multithreaded password bruteforcing,pencacahan versi plugin pada wordpress, dan pencacahan kerentanan pada sistem.

Pada gambar di bawah ini pertama kali yang akan dilakukan yaitu menemukanuser apa saja yang ada pada website tersebut yaitu dapat dengan menggunakanperintah atau script seperti dibawah ini :

Gambar 11 Perintah untuk melakukan serangan pencarian username pada website skripsi.com

Script diatas akan menghasilkan proses scanning pada wpscan , prosespencarian user akan secara otomatis dilakukan pada wordpress yang dituju yaitupada website www.skripsi.com , didalam proses kali ini hacker berhasilmenemukan 2 user yang mempunyai hak akses yang pertama login sebagaiusername admin, dan yang kedua login sebagai username ganep .

Gambar 12 Hasil Serangan dengan menggunakan aplikasi Wpscan unuk pencarian username.

Setelah mendapatkan username yang aktif pada websitewww.skripsi.com langkah selanjutnya yaitu dengan memanfaatkan username

root@kali:~# wpscan --url http://www.skripsi.com –enumerate u

12

yang sudah didapatkan, selanjutmya peretas akan melakukan serangan bruteforce,untuk melakukan pencarian password yang ada pada username yang sudahditemukan ,sebagai simulai hacker akan melakukan scanning untuk mendapatkanpassword dari usename admin, untuk melakukan scanning password, script yangdapat digunakan yaitu sebagai berikut:

Gambar 13 Perintah untuk melakukan bruteforcing password pada username admin .

Gambar 14 Proses pencarian password bruteforcing sedang berlangsung.

Proses scanning pencarian password seperti gambar diatas sedangberlangsung , secara otomatis aplikasi Wpscan melakukan serangan denganscanning dan bruteforcing password yang dimiliki username admin dengan caramengkombinasikan semua kemugkinan angka dan huruf yang ada dalam wordlistyang sudah dibuat , proses ini membutuhkan waktu yang disesuaikan dengantingkat kerumitan password yang ada dan juga berpengaruh besar padakemampuan processor komputer yang digunakan oleh penyerang atau hacker .

root@kali:~# wpscan --url http://www.skripsi.com –-worldlist/root/Desktop/pass/passlist.txt –username admin

13

Gambar 15 Proses pencarian berhasil menemukan password dari username admin.

Setelah proses sudah selesai seperti gambar di atas, proses scanningmenunjukan bruteforcing berhasil dan didapatkan untuk username adminmenggunakan password admin12345. untuk membuktikan apakah passwod yangdidapat benar sesuai dengan password aslinya, hacker bisa mencoba memasukkanusername dan password kedalam home login pada website www.skripsi.comuntuk kemudian masuk kedalam wp-loginnya dan bisa masuk ke dashboard, dapatdilihat seperti gambar di bawah .

14

Gambar 16 User dan password dimasukan kedalam home login website

Gambar 17 Login berhasil masuk kedalam dashoard

15

Pada gambar diatas menunjukkan bahwa username dan password yangdidapatkan setelah melakukan bruteforcing berhasil menyusup kedalam websitewww.skripsi.com, karena setelah melakukan uji coba username dan passwordyang dimasukkan ke dalam home login dan bisa masuk kedalam dashboardkemudian selanjutnya hacker bisa dengan leluasa melakukan proses hackingterhadap website tersebut .

4.3 Proses Scanning dengan Modifikasi Sql Injection

Aplikasi Sqlinjection merupakan salah satu aplikasi yang digunakan untukmelakukan scanning sebuah website tanpa menggunakan wordlist aplikasi inibekerja dengan memanfaatkan kerantanan dan celah keamanan pada php mysqlyang terdapat pada website tersebut, SQL Injection merupakan aplikasi scanneryang bekerja dengan mengeksploitasi celah keamanan dan kerentanan pada php,pada penelitian ini peneliti menggunakan sql injection yang sudah hadir dalamdatabase back-end web aplikasi, aplikasi ini memungkinkan melakukan ekpolitasidengan cara melakukan scanning terhadap karakter dan melakukan penyeranganmenggunkan script atau kode untuk menyerang kedalam database server.

Yang berbeda dari proses ini adalah manipulasi inputan yang tidak validkedalam titik dimana hacker telah berhasil masuk ke dalam database , makadengan menggunkan aplikasi seperti sqlmap sangat memungkinkan untuk lebihjauh dan dengan mudah melakukan serangan pada SQL, contoh sederhana dariquery SQL adalah sebagai berikut :

Contoh sederhana dari query SQL yang sah adalah sebagai berikut :

Selanjutnya, dengan menginputkan teks berikut di dalam field username danpassword maka hacker dapat membuat query sendiri kedalam database :

Dan secara logika maka akan menghasilkan Query seperti berikut :

Pada gambar di atas diartikan bahwa “ Kembali dari semua ID dimana Usernamemempunyai nilai nol , atau 1=1” , String akan selalu bernilai benar dan dengandemikian maka akan membuang semua ID pengguna yang di simpan.

Penyebab utama dari celah kerentanan SQL yaitu gabungan dari karakteryang sama untuk membuat string , dalam hal ini scrip dari perintah databasemerupakan solusi yang paling jelas untuk mengeksploitasi, dan menghindari

SELECT id FROM users WHERE username = ‘Erik’ AND password =‘QWERTY’

Username = ‘OR 1=1 --/ Password =anything

SELECT id FROM users WHERE username = ‘’ OR 1=1

16

upaya untuk memindai dan menghapus inputan yang berbahaya yang dapat diinject kedalam aplikasi web, ada sejumlah scanner otomatis yang memfasilitasipenemuan kerentanan injeksi pada aplikasi web, untuk memulainya dapatmenggunakan aplikasi NPAM yang merupakan aplikasi scanner untukmengidentifikasi webserver, sistem operasi dan versi database server. Dapatdilihat seperti pada gambar di bawah ini :

Gambar 18 Scan Zenmap hosting web server

Langkah selanjutnya Pada Scanning WPScan seperti yang ditunjukkandibawah ini digunakan untuk melakukan scanning dasar terhadap webserver, dandari scanning tersebut ditemukan plugins yang mempunyai beberapa kerentananpada SQL Injection yaitu pada plugins WordPress all Video Gallery, Selainmelakukan pencacahan kerentanan umum pada plugins , WPScan juga telahmemetakan satu-satunya nama pengguna WordPress yang ada di server yaitudapat menemukan satu username dengan nama erik.

17

Gambar 19 Scanning Wpscan pada webserver

Selanjutnya untuk mengetahui celah vurnerability pada webserver dapatmenggunakan aplikasi acunetix web , dengan aplikasi ini dapat menemukan celahkerentanan yang nanti akan dimanfaatkan untuk masuk kedalam database dandengan melalui celah tersebut telah ditemukan celah beberapa kerentanan pada/wp-conten/plugins/all-video-galeryplaylist.php , dengan memanfaatkan celahtersebut selanjutnya dilakukan scanning isi tabel yang ada di dalamnya dapatdilihat seperti pada gambar di bawah ini :

Pada Gambar di bawah ini bisa dilihat dengan menggunakan aplikasi AcunetixWeb proses scanning dapat menemukan kerentanan yang ada pada /wp-conten/plugins/all-video galeryplaylist.php .

18

Gambar 20 Hasil dari Acunetix Web Vulnerability Scanner

Selanjutnya pada gambar di bawah ini menunjukkan bagaimanakerentanan dapat dimanfaatkan, dan dalam contoh ini dengan menggunakanaplikasi sqlmap yang merupakan aplikasi injeksi SQL yang sangat fleksibel dapatmendeteksi dan mengeksploitasi kerentanan database, seperti yang terlihat padaGambar dibawah ini:

Gambar 8 – SqlMap

Gambar 21 - Scan SqlMap pada webserver

root@kali:10.0.1.22$ sqlmap -u 'http://10.0.1.22/wp-content/plugins/all-videogallery/config.php?vid=1' -v 6.sqlmap identified the following injection points with a total of 0 HTTP(s) requests:---Place: GETParameter: vidType: boolean-based blindTitle: AND boolean-based blind - WHERE or HAVING clausePayload: vid=1 AND 6469=6469Vector: AND [INFERENCE]Type: UNION queryTitle: MySQL UNION query (NULL) - 18 columnsPayload: vid=1 LIMIT 1,1 UNION ALL SELECT NULL, NULL, NULL, NULL,NULL, NULL, NULL, NULL, NULL, NULL, NULL,CONCAT(0x3a6a71683a,0x624b70536b4a62776c41,0x3a7a65623a), NULL, NULL,NULL, NULL, NULL, NULL#Vector: UNION ALL SELECT NULL, NULL, NULL, NULL, NULL, NULL, NULL,NULL, NULL, NULL, NULL, [QUERY], NULL, NULL, NULL, NULL, NULL, NULL#Type: AND/OR time-based blindTitle: MySQL > 5.0.11 AND time-based blindPayload: vid=1 AND SLEEP(5)Vector: AND[RANDNUM]=IF(([INFERENCE]),SLEEP([SLEEPTIME]),[RANDNUM])

19

Setelah dilakukan eksploitasi menggunakan sqlmap website akan dikonfirmasi secara manual menggunakan web browser dengan menginputkan kodeurl seperti pad gambar di bawah ini , dalam hal ini berarti melakukan pengecekanversi database, login username dan direktori data yang ada di dalam server .

Gambar 22 Verifikasi pada webbrowser

Selanjutnya dengan memanfaatkan celah yang sudah di verifikasimelalui website diatas dapat dilakukan pengecekan kedalam database untukkemudian dapat meihat isi tabel dan kolom tertentu yang dapat diakses, padaproses kali ini dapat menggunakan aplikasi Havij Sql , aplikasi ini digunakanuntuk melakukan pemetaan sederhana yang mendasari seluruh bagian daridatabase MySQL termasuk daftar nama username dan password yang di lindungidengan enskripsi sekalipun juga dapat di pecahkan dengan aplikasi ini , contohdapat di lihat pada gambar di bawah ini dapat di jelaskan dengan memasukantarget pada /wp-conten/plugins/all-video galeryplaylist.php?vid=1 dan dilakukanpemetaan pada MySQL Blind dapat ditemukan isi dari tables yang berisi banyakinformasi yang ada pada wp-users termasuk username dan password yang masihdalam bungkusan enskripsi, dan pada titik ini artinya proses sudah berhasilmenemukan username dan password dari database server yang di inginkan danproses sudah berhasil melakukan scanning dengan memanfaatkan kombinasibeberapa aplikasi scanning yang berbasis Sqlinjection.

20

Gambar 23 Konfirmasi dan Eksploitasi dengan Havji

4.4 Analisa Perhitungan Serangan pada Wordpress

Setelah simulasi di atas akan timbul pertanyaan yaitu bagaimana prosesalogaritma brute force ini terjadi ? Analisa perhitungan serangan yang terjadisebagai berikut :Dalam penelitian sebelumnya sudah di temukan rumus untuk menghitungserangan brute force yaitu xn , Didapat xn dimana x = jumlah karakter yang disupport oleh program dan n = jumlah panjang password yang dicari, Cara kerjayang dilakukan oleh Brute Force Attack Mengadaptasi Cara kerja dasarAlgoritma Brute Force yaitu dengan tidak cerdasnya mencoba satu persatukombinasi karakter dengan cara rekursif dari 1 sampai tak terhingga atau batasyang ditentukan.

Username admin mempunyai password admin12345 dengan kombinasisebanyak 62 karakter dari 0-z , sehingga alogaritma perhitungannya dapat dilihatpada tabel di bawah ini :

21

Password yang didapatkan mempunyai 10 karakter, Max Pencarian dengan 62

pangkat 10 yaitu ditemukan sebanyak 839299365868340224 kombinasi yang

dicari untuk menemukan password tersebut .

a d m i n 1 2 3 4 5

0-z

0-z 0-z

0-z 0-z 0-z

0-z 0-z 0-z 0-z

0-z 0-z 0-z 0-z 0-z

0-z 0-z 0-z 0-z 0-z 0-z

0-z 0-z 0-z 0-z 0-z 0-z 0-z

0-z 0-z 0-z 0-z 0-z 0-z 0-z 0-z

0-z 0-z 0-z 0-z 0-z 0-z 0-z 0-z 0-z

0-z 0-z 0-z 0-z 0-z 0-z 0-z 0-z 0-z 0-z

Perhitungan dari tabel diatas menjelaskan bahwa untuk menemukan satu karakterpassword yang benar membutuhkan kombinasi seperti tabel di bawah ini :

Panjang password yang ditemukan = 10 karakter

Uji panjang = 1 diulang sampai 62 karakter (a-z, A-Z, 0-9)

Uji panjang = 2 diulang sampai 62 x 62 kombinasi

Uji panjang = 3 diulang sampai 62 x 62 x 62 kombinasi

Uji panjang = 4 diulang sampai 62x62x62x62kombinasi

Uji panjang = 5 diulang sampai 62x62x62x62x62kombinasi

Uji panjang = 6 diulang sampai 62x62x62x62x62x62kombinasi

Uji panjang = 7 diulang sampai 62x62x62x62x62x62x62kombinasi

Uji panjang = 8 diulang sampai 62x62x62x62x62x62x62x62kombinasi

Uji panjang = 9 diulang sampai 62x62x62x62x62x62x62x62x62kombinasi

Uji panjang = 10 diulang sampai 62x62x62x62x62x62x62x62x62x62kombinasi

22

Kelemahan Brute Force Attack diatas adalah waktu yang dibutuhkanrelatif sangat lama. Untuk Password 1 karakter menggunakan 62 Karakter (26Huruf kecil, 26 Huruf Besar, dan 10 angka) terdapat 62 kali looping dari 0 hinggaz. Untuk Password 2 Karakter menggunakan 62 x 62 kombinasi karakter dari 00hingga zz. Itupun belum termasuk karakter khusus seperti ! (tanda seru), (/), garismiring, dan karakter lainnya hingga menambah waktu pemrosesan. Waktupemrosesan pada program bergantung pada memori komputer yang digunakandan panjang password yang dicari.

4.5 Hasil dari Simulasi Penyerangan Brute Force

Dari semua simulasi yang telah dilakukan pada penelitian di atas makadapat di hasilkan sebuah Website yang memakai template wordpress sangat rentanterhadap serangan Brute Force , kenapa demikan?Template Wordpess mempunyai banyak fitur terutama pada fitur plugin , daripenelitian di atas dapat diketahui bahwa dengan adanya plugin yang terinstallpada template tersebut beberapa aplikasi scanning yang di pakai penyerang bisadengan mudah menemukan vunerability atau kelemahan atau celah pada websitemelalui plugins tersebut, lewat plugin tersebut memungkinkan penyerang untukmengunduh file- file penting yang terdapat didalam website tersebut untukkemudian dimanfaatkan penyerang dan mengambil alih kendali pada websitetersebut .

Dari pembuktian yang peneliti lakukan terbukti bahwa plugin yangdigunakan pada video galery mempunyai celah atau bug sehingga dapatdimanfaatkan oleh penyerang untuk melakukan scanning file wp-config.php padawebsite yang berbasis wordpress, file wp-config.php merupakan file yang sangatpenting dan apabila jatuh ketangan orang yang salah akan sangat berbahayakarena didalam file tersebut berisi tentang setting database yang digunakan padawebsite, termasuk username, password, host, dan nama database yang digunakan,dan jika sudah tau login databasenya banyak hal yang bisa dilakukan olehpenyerang , dapat dilihat seperti pada gambar di bawah ini .

Gambar 24 dashboard login dari hasil Pencurian username dan password.

23

5. Simpulan

Berdasarkan penelitian yang telah dibuat untuk menganalisa seranganbrute force attack dengan aplikasi scanning maka dihasilkan kesimpulan: 1)Metode ini melakukan pengecekan karakter yang benar-benar sesuai dengandictionary, apabila terdapat ketidaksamaan, maka brute force tidak menghasilkanoutput atau hasil yang diinginkan; 2) Algoritma Brute Force merupakanpenyelesaian sederhana untuk mendapat hasil yang maksimal, Algoritma BruteForce Attack menjamin bahwa hasil yang dicari akan didapat denganmengesampingkan waktu pencarian; 3) Semakin rumit suatu algoritma makasemakin besar celah (bug) yang terdapat pada algoritma tersebut; 4) Enkripsi kuatyang modern juga dapat menahan brute force attack dengan memberikan prosesBrute Force Attack dengan waktu yang semakin lama. Dan saran untukpengembangan sistem ini adalah 1) mendapatkan waktu pencarian yang lebihcepat dan hasil yang lebih akurat, modifikasi algoritma diharapkan dapatdilakukan tanpa mengubah prinsip dasar dari algoritma brute force tersebut; 2)Sangat tidak disarankan jika algoritma brute force dianggap cara yang tidakefisien dan tidak efektif, justru kebanyakan orang menyukai algoritma inidikarenakan pola pemikiran yang sederhana menyerupai pola pikir manusia dalampenyelesaian masalah. Algoritma Brute Force dapat menjadi pertimbangan dalampengembangan software baik itu digunakan sebagai algoritma dasar perangkatlunak yang dipakai, ataupun algoritma pembanding dengan algoritma lainnya.

6. Daftar Pustaka

[1]. Pramudita, Krismaldi Eka. 2010. “Brute Force Attack dan Penerapanyapada Password Cracking“. ITB Bandung ,: 1-4 .

[2]. Mesran. 2014. “Implementasi Algoritma Brute Force dalam PencarianData Katalog Buku Perpustakaan”. Makalah Informasi dan TeknologiIlmiah (INTI). Vol: III, Nomor: 1, Mei 2014. ISSN : 2339-210X.

[3]. Saragih May Aprina. 2013. “Implementasi Algoritma Brute Force dalamPencocokan Teks Font Italic untuk Kata Berbahasa Inggris pada DokumenMicrosoft Office Word”. Pelita Informatika Budi Darma. Vol: IV, Nomor:3, Agustus 2013. ISSN: 2301-9425.

[4]. Rafizan, Onny. 2012. “Analisis Penyerangan Social Engineering”.https://publikasi.kominfo.go.id/handle/54323613/801.(diakses 3 Agustus2015).

[5]. Hidayani Nisa, Nurma Juni Sari, Suhatman Rahmat . 2013. “Perancangandan Implementasi Metode Brute Force untuk Pencarian String padaWebsite PCR”. Politeknik Caltex Riau, : 1-4.

[6]. Hub Miloslav dan Capek Jan, 2010. “Security Evaluation of PasswordsUsed on Internet”, Faculty of Economics and Administration, Universityof Pardubice Pardubice, Vol: 5, No: 3, Czech Republic.

24

[7].

[8].

[9].

[10].

Syukrie.M. 2002. “101 Tip dan Trik Hacking”. Jakarta, PT Flex MediaKomputindo.Wpscan Team. 2015. “ WPScan Is a Blackbox Wordpress VurnerabilityScanner”. http://wpscan.org (diakses 13Agustus 2015).WPScan Team. 2013. “Wordpress Vurnerability Scanner”.http://omniref.com/github/wpscanteam/wpscan/2.1. (diakses 26 September2015).Occupytheweb. 2014. “How to Crack Passwords, Part4 (Creating aCustom Wordlist with Crunch)”. http://null-byte.wonderhowto.com(diakses 4 Oktober 2015).

[11].

[12].

Arts & Farces Internet. 2014. “Install and Use WPScan For Securitytesting “ . http://www.farces.com/wikis/naked-server/wordpress/wpscan/(diakses 18 November 2015).

Couture Erix. 2013. “Web Application InjectionVurnerabilities”. SANSInstitute,: 26-32.

XXV