Oke guys, balik lagi sama gw, kali ini gw bakal sharing tutorial bagamaina cara BruteForce menggunakan Burpsuite. Untuk tutorial ini saya pastikan kalian sudah menginstall burpsuite nya okee langsung aja ke tutorialnya.

Disini gw udah punya target, awalannya ini sebenarnya gw mau nyari user pass nya dari sqli:v tapi karena password ke hash dengan bcrypt jadi gw memutuskan untuk bruteforce aja.

Download list password : klik me!.

Langkah-langkah :

1. Kalian akses admin login nya.

 


2. Kalau sudah kalian ke burpsuite aktifkan interceptnya.


3. Kalian masukkan sembarangan aja dibagian user pass nya terus tekan login.


4. Setelah itu kalian ke burpsuite, klik kanan lalu tekan "Send to Intruder". kalo udah kalian boleh off in interceptnya.


5. Nah disini kalian ke menu bagian atas, cari aja "Intruder" terus kalian ke "Positions".


6. Tekan tombol "Clear".


7. Kalian tekan "Attack Type: ", nah karena di target nya gw dapet 2 username jadi gw pilih "Cluster Bomb" ya untuk ngebrute parameter user sama passwordnya, kalo misalnya kalian udah tau dan dapet cuman 1 username kalian pilih "Sniper" aja untuk ngebrute force passwordnya doang.


8. Seleksi bagian parameter userid terus tekan "Add" begitu juga di parameter passwordnya.


9. Setelah itu kalian ke "Payloads".


10. Nah dibagian "Payload set:" ada 2 options yang pertama untuk parameter "userid" tadi, yang kedua untuk parameter "password" nya. di payload pertama untuk username nya di payload kedua untuk passwordnya.


11. Nah di payload pertama gw masukkin username yang udah gw temukan tadi pas melakukan SQLI.


12. Di payload kedua gw masukkin list password, kalian bisa tekan "Load" terus cari list passwordnya, atau kalian bisa copy list passwordnya terus tekan tombol "Paste".


13. Kalo udah keisi kedua payloadnya kalian tinggal tekan "Start attack" dibagian pojok kanan atas, dan otomatis bakalan ngebrute.


14. Kalian tunggu sampe selesai ngebrute.


15. Kalo udah selesai, kalian tekan "length" kalo ketemu nilai yang beda kalian klik terus ke "Response" kalian liat response nya, kalo ada tulisan success atau wellcome kemungkinan berhasil masuk dashboard nya atau kalian bisa coba aja langsung login pake password di length yang berbeda tadi.


16. Disini gw coba login pake password di length yang beda tadi 1234567890 dan username admin@admin.com and boom berhasil masuk dashboardnya.


Oke sekian dulu dari gw jangan lupa share wassalam wr wb.