探索WPForce:Wordpress攻击工具套件
WPForce 是一个强大的WordPress攻击工具集,目前包括两个脚本——WPForce和Yertle。前者利用API进行暴力破解登录,而后者则在获取管理员权限后上传shell,提供多种后渗透利用选项。
关于WPForce:
该项目的初衷是为了测试WordPress的安全性。通过官方网站上的博客你可以了解更多详细信息,包括其他语言版本的博客链接,方便全球的读者了解。
特点一览:
- API暴力破解:避免了针对登录表单的保护措施。
- 自动上传shell:一旦获得有效凭证,可立即部署。
- 反向Shell:能够启动全功能的反向Shell。
- 密码哈希导出:帮助黑客快速获取网站的密码哈希。
- 认证函数后门:用于收集明文密码。
- 注入BeEF Hook:使所有页面都能被BeEF控制。
- Meterpreter转换:如有需要,可以转向Meterpreter会话。
安装与使用:
安装Yertle时,需要先确保已安装requests
库:
http://docs.python-requests.org/en/master/user/install/
执行WPForce和Yertle的命令行示例:
python wpforce.py -i usr.txt -w pass.txt -u "http://www.[website].com"
python yertle.py -u "[username]" -p "[password]" -t "http://www.[website].com" -i
应用场景:
对于安全研究人员和渗透测试者而言,WPForce是一个理想的工具,它可以帮助你发现WordPress站点的潜在脆弱性,并模拟恶意攻击者的行动。此外,对于开发者来说,这个工具也可以用于自我测试和加固自己的WordPress站台。
项目特点:
- 多线程攻击:支持自定义线程数,提高效率。
- 用户友好:命令行接口清晰,易于操作。
- 模块化设计:Yertle提供了丰富的后渗透模块,如BeEF注入和数据库凭据提取。
- 灵活的适配性:兼容Python 2.7,适用于各种环境。
通过使用WPForce,你将深入理解WordPress的安全边界,并能够在安全测试中取得更真实的成果。但是请注意,任何对实际网站的测试都需要得到所有者的明确授权。这是一个强大的工具,必须谨慎使用。