共计 1764 个字符,预计需要花费 5 分钟才能阅读完成。
wpbf 是一个基于 Python 的强力工具,用于在 WordPress 站点上远程测试密码强度,用户名枚举和插件检测。这个怎么运作 该脚本将尝试使用枚举的用户名,单词列表和博客内容中的相关关键字,通过登录表单登录 WordPress 仪表板。如果给出了单个用户名,则脚本将不会搜索其他用户名。找到正确的用户名 / 密码后,它将被记录并显示在标准输出中。为了获得更快的结果,您可以生成线程,但要小心不要泛滥 / DoS 站点。可以在 config.py 和 logging.conf 文件中更改默认设置。wordlist 必须每行有一个条目,提供一个小的 wordlist(wordlist.txt)和插件列表(plugins.txt)用于测试目的。注意:它需要 Python 2.6。特征:
-
用户名枚举和检测(TALSOFT-2011-0526,作者的存档页面和内容解析)
-
主题
-
使用词汇表中博客内容的关键字
-
HTTP 代理支持
-
基本的 WordPress 指纹(版本和完整路径)
-
高级插件指纹(暴力,发现和版本 / 文档)
-
检测 Login LockDown 插件(此插件使暴力无用)
-
使用 Python 的日志记录库和日志配置文件进行高级日志记录
用法:wpbf.py [-h] [-w WORDLIST] [-u USERNAME] [-s SCRIPTPATH] [-t THREADS] [-p PROXY] [-nk] [-eu]网址 wpbf 将审核并强制您的 WordPress 安装以测试密码强度,服务器配置,用户和已安装的插件。它目前支持线程和 HTTP 代理,并提供一个非常小的默认 wordlist(a 默认情况下,从博客的内容和基本生成动态 wordlist 用户名检测。位置参数:url 基本 URL 安装 WordPress 的位置可选参数:-h,– help 显示此帮助消息并退出 -w WORDLIST,– wordlist WORDLIST worldlist 文件(默认值:wordlist.txt)-nk,– nokeywords 不搜索内容中的关键字并将其添加到 词汇表-u USERNAME,– username USERNAME 用户名(默认值: 无)-s SCRIPTPATH,– scriptpath SCRIPTPATH 登录表单的路径(默认值:wp-login.php)-t THREADS,– –threads THREADS 脚本将产生多少个线程(默认值:5)-p PROXY,– proxy PROXY http 代理(例如:http:// localhost:8008 /)-nf,– nofingerprint 不指纹 WordPress-eu,– enumerateusers 仅枚举用户(不使用强制执行)-mu MAXUSERS,– maxusers MAXUSERS 要枚举的最大用户名数(默认值:no 限制)- ENUMERATETOLERANCE,– enumeratetolerance ENUMERATETOLERANCE 在用户名枚举中使用的用户 ID 间隙容差(默认值:3)-nps,– nopluginscan 跳过插件强力,枚举和指纹 找到密码后-ds,– extendstop 不会停止,继续全部待定任务 –test 运行 python doctests(你可以在这里使用虚拟 URL)
例子:
-
基本
它将使用默认设置(您可以更改 config.py 文件中的默认设置):$ ./wpbf.py http://www.mysite.com/blog/
-
习惯
使用用户名 john,不使用 wordlist 中的关键字和本地代理:$ ./wpbf.py –nokeywords -u john -p http:// localhost:8008 / http://www.mysite.com/blog/
-
激进
它将使用默认设置并生成 23 个线程:$ ./wpbf.py-t 23 http://www.mysite.com/blog/
-
用户名枚举
仅执行用户枚举:$ ./wpbf.py -eu http://www.mysite.com/blog/下载地址:https://github.com/atarantini/wpbf/releases
你可能喜欢
WordBrutePress – 多线程 Wordpress 强制执行工具
