Skip to content
Home ยป Private Webhook Collector

Private Webhook Collector

Halo semuanya, disini saya akan membuat tutorial bagaimana kita membuat private collaborator pada burpsuite.

Mengapa Membutuhkan Private Collaborator?

Salah satu alasan utama mengapa Anda perlu menggunakan private collaborator adalah untuk menghindari penggunaan domain bawaan dari Burpsuite. Banyak Web Application Firewall (WAF) modern secara otomatis mendeteksi dan memblokir domain-domain collaborator default dari Burpsuite, sehingga dapat menghambat proses pengujian keamanan Anda.

Dengan menggunakan private collaborator, Anda akan memiliki:

  • Server penampung callback yang lebih privat
  • Kontrol penuh terhadap infrastruktur
  • Kemampuan untuk melewati WAF yang memblokir domain default Burpsuite

Langkah-Langkah Setup HookCollector

Setup private collaborator menggunakan HookCollector cukup mudah dan langsung bisa dioperasikan. Berikut langkah-langkahnya:

1. Clone Repository dari GitHub

git clone https://github.com/joelindra/HookCollector.git

2. Masuk ke Direktori HookCollector

cd HookCollector

3. Menjalankan Aplikasi

Jalankan aplikasi dengan perintah:

python3 app.py

Anda akan melihat output seperti ini:

/usr/lib/python3/dist-packages/flask_limiter/extension.py:324: UserWarning: Using the in-memory storage for tracking rate limits as no storage was explicitly specified. This is not recommended for production use. See: https://flask-limiter.readthedocs.io#configuring-a-storage-backend for documentation about configuring the storage backend.
  warnings.warn(
 * Serving Flask app 'app'
 * Debug mode: on
INFO:werkzeug:WARNING: This is a development server. Do not use it in a production deployment. Use a production WSGI server instead.
 * Running on all addresses (0.0.0.0)
 * Running on http://127.0.0.1:5000
 * Running on http://172.18.121.160:5000
INFO:werkzeug:Press CTRL+C to quit

4. Mengakses Interface Web

Setelah server berjalan, Anda dapat mengakses interface melalui:

  • http://127.0.0.1:5000 (lokal)
  • http://[IP_SERVER]:5000 (remote, ganti [IP_SERVER] dengan IP server Anda)

5. Login ke Dashboard

Untuk masuk ke dashboard, gunakan kredensial default:

  • Username: anonre
  • Password: hackerbiasa123

Catatan: Untuk alasan keamanan, disarankan untuk mengubah kredensial default. Petunjuk untuk mengganti kredensial dapat ditemukan di repository GitHub.

6. Menggunakan HookCollector

Setelah berhasil login, Anda akan melihat dashboard utama yang siap digunakan untuk menerima callback. Untuk menguji apakah sistem berfungsi dengan baik, Anda bisa melakukan test dengan curl:

curl -X POST -H "Content-Type: application/json" -d '{"message":"test webhook"}' http://127.0.0.1:5000/webhook

Jika berhasil, Anda akan menerima respons:

json{
  "message": "Webhook received",
  "status": "success",
  "webhook_id": "37fa06a670c0"
}

Pastikan fitur “Auto Refresh” diaktifkan pada dashboard untuk melihat request yang masuk secara real-time.

Leave a Reply

Your email address will not be published. Required fields are marked *