Tutorial Deface Wordpress Menggunakan Default Username and Password

Pada kesempatan kali ini, saya akan membagikan tutorial tentang bagaimana melakukan deface menggunakan metode login admin WordPress dengan username dan password default. Metode ini tergolong cukup mudah, hanya dengan menggunakan username dan password default, namun cukup sulit untuk menemukan targetnya.

PoC Wordpress Default Username and Password

Gunakan dork berikut ini untuk melakukan dorking supaya memudahkan kalian dalam mencari target:

intitle:My Blog My WordPress Blog 

intitle:My Blog My Wordpress Blog site:.com 

Jika sudah mendapatkan target, akses halaman login admin menggunakan perintah berikut ini:

http://target.com/wp-login.php

http://target.com/[path]/wp-login.php 

Gunakan username dan password berikut ini untuk melakukan login kedalam dashboard admin

Username : admin

Password : pass 

Password : admin

Password : password

 Jika target kalian vulnerable, Kalian akan langsung diarahkan ke dashboard admin. Di sinilah kita akan mengunggah shell backdoor dengan bantuan Plugin File Manager

Untuk menginstal Plugin File Manager, Kalian cukup pergi ke Menu Plugin > Installed Plugin > Cari File Manager > Install > Aktifkan. 

Jika sudah, buka File Manager tersebut untuk mengunggah shell backdoor. Klik seusai logo yang sudah saya tandai & untuk unggahan direktori kalian dapat menyesuaikan sendiri. 

Jika sudah, akses shell backdoor kalian sesuai direktori di mana kalian mengunggahnya. Di sini saya mengunggah di /wp-content/uploads/2024/04/msvfm.phP.

Sekian tutorial kali ini, semoga bermanfaat & jika ada saran atau kritikan silahkan berkomentar.