Oke sekarang mari saya tunukkan bagaimana tools ini bekerja.
Berhubung saya lebih suka versi console, di tutorial ini saya pakai yang versi console.
Pertama buka terminal, login root.
root@yunivita:/home/jackwilder# w3af_console
Kita gunakan perintah help untuk melihat command yang bisa digunakan
w3af>>> help
Disitu ada perintah target dengan keterangan Configure the target URL.
Berarti kita set target disitu.
w3af>>> target
w3af/config:target>>> w3af/config:target>>> set target http://library.upgrismg.ac.id/ <= sesuaikan sendiri targetnya.
Setelah target di set, kita kembali ke menu utama, lalu masuk ke menu plugins.
w3af/config:target>>> back
w3af>>> plugins
Gunakan perintah help untuk melihat apasaja yang bisa dipakai.
w3af/plugins>>> help
Disana ada perintah audit dengan keterangan View, configure and enable audit plugins.
Kita menggunakan nya untuk menentukan bug apa yang kita cari.
w3af/plugins>>> audit
Disitu ada banyak pilihan, karena saya ingin mencari bug sqli, saya gunakan perintah
w3af/plugins>>> audit sqli
kalau kalian ingin mencoba semua nya, bisa gunakan perintah " audit all "
Gunakan perintah discovery untuk scan lanjutan.
w3af/plugins>>> discovery
Ada banyak pilihan, salahsatunya findBackdoor dengan keterangan Find web backdoors and web shells.Kita coba gunakan itu, barangkali beruntung sudah ada yang masuk duluan .
w3af/plugins>>> discovery findBackdoor
Untuk mencoba semua nya bisa gunakan perintah " discovery all "
Command output digunakan untuk setting output dari hasil scan.
w3af/plugins>>> output
saya pilih console dan textFile .
w3af/plugins>>> output console, textFile
Setelah semua nya beres, kembali ke menu utama
w3af/plugins>>> back
Lets do it !
w3af>>> start
dan tunggu w3af bekerja untuk kita.
nah, untuk output txt nya bisa dilihat di /usr/share/w3af/ .
Sekian dan semoga bermanfaat.
keep Exploiting.
Kek gini??
ReplyDelete