[工具使用]WpScan

最新推荐文章于 2024-05-13 14:15:14 发布
最新推荐文章于 2024-05-13 14:15:14 发布
阅读量1.2w 收藏 4
点赞数 4
分类专栏: 工具使用 文章标签: ruby 数据库 网络安全 信息安全 wordpress
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46363249/article/details/120039622
版权

WpScan

							不存在十全十美的文章,如同不存在彻头彻尾的绝望。
																——《且听风吟》村上春树

概述

WPScan是Kali Linux默认自带的一款漏洞扫描工具,它采用Ruby编写,能够扫描WordPress网站中的多种安全漏洞,其中包括主题漏洞、插件漏洞和WordPress本身的漏洞。最新版本WPScan的数据库中包含超过18000种插件漏洞和2600种主题漏洞,并且支持最新版本的WordPress。值得注意的是,它不仅能够扫描类似robots.txt这样的敏感文件,而且还能够检测当前已启用的插件和其他功能。

主要参数

在这里插入图片描述

工具使用

建议第一次使用时先更新

wpscan --update

在这里插入图片描述

使用wordpress建站流程

在这里插入图片描述

扫描wordpress站点

wpscan --url http://xxx.xxx

在这里插入图片描述

我们可以看到中间件Nginx,wordpress版本 5.2.11

插件扫描

wpscan --url http://xxx.xxx -e p

在这里插入图片描述

我们可以看到使用的插件是js_composer、LayerSlider

扫描插件漏洞

wpscan在扫描漏洞需要带上token值,才可以显示出漏洞。
不带token值,不显示漏洞信息,报如下提示:
在这里插入图片描述我们需要去官网获取免费的API
WpScan官网
在这里插入图片描述

接下来我们扫描插件漏洞:

wpscan --api-token xxxxxxxxxxxxxxx --url http://xxx.xxx -e vp

在这里插入图片描述
可以看出该插件存在SQL注入和XSS

扫描主题

wpscan --url http://xxx.xxx -e t

在这里插入图片描述

可以看到使用的主题有oceanwp、twentynineteen等

扫描主题漏洞

wpscan --api-token xxxxxxxxxxxxxxx --url http://xxx.xxx -e vt

在这里插入图片描述

该网站wordpress主题没有漏洞

枚举wordpress用户名

wpscan --url http://xxx.xxx -e u

在这里插入图片描述

扫描出3个用户名:user、titus、esther

暴力破解密码

wpscan –u http://192.168.10.44 --wordlist /root/Desktop/dict.txt --username admin --threads 100 #指定用户名为admin,密码为 /root/Desktop/dict.txt 字典文件中的数据

第一个用户user爆破失败,不巧第二个、第三个用户密码也爆破失败
在这里插入图片描述
在这里插入图片描述

结合MSF获取shell

结合我们直接扫描出的插件漏洞:team-members、wp-statistics
模糊搜索即可,如果msf存在漏洞利用,直接利用即可
在这里插入图片描述
以上就是本文全部内容,希望大家可以有所收获!

鹏华李
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
WPScan(WordPress专用扫描器)
墨痕诉清风的博客
05-29 1743
hellp _________________________________________________________ __ _______ _____ \ \ / / __ \ / ____| \ \ /\ / /| |__) | (___ ___ __ _ _ __ ® \ \/ \/ / | ___/ \___ \ / __|/ _` | '_ \ \ /\ / | | ____) | (
wp-vulnerability-check:通过API来检查WPScan漏洞数据库的命令行,以识别已安装的WordPress插件的安全性问题
01-30
WordPress漏洞检查(wp-vulnerability-check) WordPress漏洞检查(wp-vulnerability-check)是一个控制台应用程序,可通过API检查WPScan漏洞数据库,以识别已安装的WordPress插件的安全性问题。 如果您将WordPress用作应用程序的一部分,并且使用第三方WordPress插件来实现您的业务逻辑,则可以在CI管道上运行wp-vulnerability-check来检查漏洞。 您应该从获得令牌以访问API。 目录 如何使用 要求 wp-vulnerability-check需要PHP 5.6.0或更高版本。 安装 它可以作为独立工具安装,也可以在CI管道上用作测试步骤。 composer require umutphp/wp-vulnerability-check CLI选项 成功安装后,可以显示以下选项; ./wp-vulnerability-check --help --------------------------- WP Vulnerability Check version 0.2.2 -----
wpscan
m0_51428325的博客
11-16 443
首先得去官网申请api-token值(不然就会报以下的错 [!] No WPVulnDB API Token given, as a result vulnerability data has not been output. [!] You can get a free API token with 50 daily requests by registering at https://wpvulndb.com/users/sign_up 然后当你有了token值之后你就可以用命令行后面直接加
【Kali Linux工具篇】wpscan的基本介绍与使用
最新发布
失心少年
05-13 796
WPScan是Kali Linux默认自带的一款漏洞扫描工具,它采用Ruby编写,能够扫描WordPress网站中的多种安全漏洞,其中包括主题漏洞、插件漏洞和WordPress本身的漏洞。最新版本WPScan的数据库中包含超过18000种插件漏洞和2600种主题漏洞,并且支持最新版本的WordPress。值得注意的是,它不仅能够扫描类似robots.txt这样的敏感文件,而且还能够检测当前已启用的插件和其他功能。
WPScan:WordPress网站的安全扫描工具
gitblog_00033的博客
03-18 428
WPScan:WordPress网站的安全扫描工具 WPScan 是一个开源的 WordPress 安全扫描工具,可以用于检测 WordPress 网站存在的安全漏洞和弱点。它可以帮助管理员发现并修复潜在的安全问题,保护网站免受攻击。 项目功能及用途 WPScan 主要具有以下功能: 检测WordPress版本及插件、主题信息 扫描已知漏洞 寻找弱口令和可利用的账号 查找未删除的默认文件 输出详...
介绍WPScan
Kali与编程
02-22 910
WPScan是一款专门用于WordPress安全评估和漏洞扫描的工具。作为一个流行的内容管理系统(CMS),WordPress是许多网站和博客的首选平台。然而,正因为其广泛使用WordPress也成为了攻击者的目标。为了确保网站的安全性,渗透测试人员和安全专家经常使用WPScan来评估和发现可能存在的漏洞。WPScan是一个开源的命令行工具,可以运行在Kali Linux等渗透测试操作系统上。它提供了丰富的功能和选项,用于扫描目标WordPress网站并发现潜在的安全问题。
WPScan使用
u011310424的专栏
09-12 705
1获取基本信息 wpscan –url  www.JeeHsu.com 扫描插件基本信息 wpscan –url www.JeeHsu.com –enumerate p 扫描容易受攻击的插件 wpscan –url www.JeeHsu.com –enumerate vp 扫描所有插件 wpscan –url www.J
WPScan工具使用
Ays.Ie的博客
03-04 462
WPScan的使用说明
wpscan-update.zip
03-29
wpscan更新包,用于解决kali初次使用wpscan时需要更新但时但是更新失败的问题 相关教程链接:https://blog.csdn.net/qq_43017750/article/details/105173019
Wordpresscan:用Python重写WPScan +一些WPSeku想法
02-05
Wordpresscan 一个简单的基于WPScan(Ruby版本)以python编写的Wordpress扫描程序,某些功能受WPSeku的启发。 免责声明 The authors of this github are not responsible for misuse or for any damage that you may cause! You agree that you use this software at your own risk. 安装并启动 安装 git clone https://github.com/swisskyrepo/Wordpresscan.git cd
Wordpresscan, 在 python 中一些WPSeku思想,WPScan重写.zip
09-19
Wordpresscan, 在 python 中一些WPSeku思想,WPScan重写 Wordpresscan基于 WPScan ( ruby 版本)的python 编写的简单的Wordpress扫描仪免责声明The author of this github is not responsible for mi
kali wpscan 命令
Jingged的博客
03-15 349
WPScan是一款强大的WordPress安全扫描工具,能够检测WordPress网站中的多种安全漏洞,包括WordPress本身、插件以及主题的漏洞。请注意,使用WPScan进行扫描时,必须确保你已经获得了目标网站的授权。未经授权对他人网站进行扫描是违法的,并可能导致法律责任。同时,也要确保你的扫描行为符合道德准则,并尊重他人的隐私和安全。最后,由于WPScan是一个不断更新和发展的工具,建议定期查看其官方文档或社区论坛,以获取最新的使用方法和技巧。
WPScan主题和插件扫描
Kali与编程
12-24 822
因此,了解和监控主题和插件的版本是保护网站安全的重要一环。管理员可以根据WPScan提供的版本报告,了解目标主题和插件的版本情况,并采取必要的措施,如更新到最新版本、联系主题/插件作者或选择替代的主题/插件。管理员可以根据WPScan提供的漏洞报告,了解目标插件的安全状况,并及时采取修复措施,如更新插件版本、联系插件作者或寻找替代插件。通过结合使用WPScan的主题和插件版本识别功能以及以上建议,WordPress网站管理员可以更好地管理和保护其网站的主题和插件,提升网站的安全性并减少潜在的安全风险。
WPScan基本使用
LYJ20010728的博客
08-05 2007
WPScan基本使用WPScan 简介WPScan 参数WPScan 扫描指定站点WPScan 扫描指定用户WPScan 扫描插件漏洞WPScan 扫描主题漏洞WPScan 更新数据漏洞库WPScan 暴力破解得到密码WPScan TimThumbs文件漏洞扫描WordPress 防护措施 WPScan 简介 WPScan是Kali Linux默认自带的一款漏洞扫描工具,它采用Ruby编写,能够扫描WordPress网站中的多种安全漏洞,其中包括WordPress本身的漏洞、插件漏洞和主题漏洞,最新版本
wpscan专门针对wordpress的安全扫描工具
没刮胡子的程序员专栏
03-11 644
WPScan是一款专门针对WordPress的漏洞扫描工具,它使用Ruby编程语言编写。WPScan能够扫描WordPress网站中的多种安全漏洞,包括WordPress本身的漏洞、插件漏洞和主题漏洞。此外,WPScan还能扫描类似robots.txt这样的敏感文件,并检测当前已启用的插件和其他功能。WPScan的数据库中包含大量的插件漏洞和主题漏洞信息,可以帮助用户快速发现潜在的安全风险。
工具说明书 - wpscan
御衡的博客
12-04 403
WordPress 安全扫描器
wpscan update
01-08
wpscan是一个WordPress漏洞扫描工具,它能够帮助网站管理员发现并修复WordPress网站的安全漏洞。wpscan不断更新漏洞数据库和扫描算法,以确保能够及时发现最新的安全风险。对于wpscan的更新,有以下几个方面需要注意。 首先,wpscan更新会包括漏洞数据库的更新。随着新的漏洞被发现并报告,wpscan团队会不断更新漏洞数据库,以确保用户能及时获取到最新的漏洞信息。这样一来,网站管理员就能够及时了解到哪些安全漏洞可能存在于他们的WordPress网站中。 其次,wpscan更新还可能包括扫描算法的改进。随着技术的发展和安全威胁的不断演变,wpscan团队会对其扫描算法进行改进,以确保能够更准确地发现并报告潜在的安全风险。这样一来,用户就能够更放心地使用wpscan来保护其WordPress网站的安全。 总的来说,wpscan的更新对于用户来说非常重要。用户需要定期检查自己使用wpscan版本,以确保其能够及时获取到最新的漏洞数据库和扫描算法。只有保持最新的版本,用户才能够最大限度地保护其WordPress网站的安全。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

鹏华李

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值