针对WordPress的xmlrpc.php暴力破解攻防

最新推荐文章于 2024-07-27 11:34:20 发布
最新推荐文章于 2024-07-27 11:34:20 发布
阅读量1.8k 收藏 2
点赞数 1
分类专栏: 经验分享 系统运维 WordPress 文章标签: php 安全 apache nginx 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunny_day_day/article/details/105264939
版权

绪论

通常wordpress登录接口都是做了防暴力破解防护的,利用xmlrpc.php提供的接口尝试猜解用户的密码,可以绕过wordpress对暴力破解的限制。xmlrpc.php或可导致拒绝服务

利用原理

Pingback 是三种类型的反向链接中的一种,当有人链接或者盗用作者文章时来通知作者的一种方法。可以让作者了解和跟踪文章被链接或被转载的情况。一些全球最受欢迎的 blog 系统,都支持 Pingback 功能,使得可以当自己的文章被转载发布的时候能够得到通知。 WordPress 中有一个可以通过 xmlrpc.php 文件接入的 XMLRPC API,可以使用 pingback.ping 的方法加以利用。 其他 BLOG 网站向 WordPress 网站发出 pingback,当WordPress处理 pingback 时,会尝试解析源 URL。如果解析成功,将会向该源 URL 发送一个请求,并检查响应包中是否有本 WordPress 文章的链接。如果找到了这样一个链接,将在这个博客上发一个评论,告诉大家原始文章在自己的博客上。 黑客向使用WordPress论坛的网站发送数据包,带有被攻击目标的 URL(源 URL)。WordPress 论坛网站收到数据包后,通过 xmlrpc.php 文件调用 XMLRPC API,向被攻击目标 URL 发起验证请求。如果发出大量的请求,就会对目标 URL 形成 HTTP Flood。当然,单纯向 WordPress 论坛网站发出大量的请求,也会导致 WordPress 网站自身被攻瘫。 除了 DDoS 之外,黑客可以通过源 URL 主机存在与否将返回不同的错误信息这个线索,如果这些主机在内网中确实存在,攻击者可以进行内网主机扫描。

最低0.47元/天 解锁文章
ac.char
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xmlrpc.php 漏洞利用
墨痕诉清风的博客
10-10 8015
WordPress采用了接口.并且通过内置函数实现了该接口内容。所以,你可要通过客户端来管理Wordpress。通过使用WordPress XML-RPC, 你可以使用业界流行博客客户端来发布你的WordPress日志和页面。同时,XML-RPC 也可使用插件来自定义你的规则。
复现WordPress xmlrpc.php漏洞和SSRF
记录并分享学习安全的知识点..
04-02 1918
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保。 SSRF(服务器端请求伪造) SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为 它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定UR...
wordpress网站被黑恶意攻击解决方法之 xmlrpc.php
stwood007的博客
10-09 1311
攻击原理 wordpress网站xmlrpc.php文件是一个远程端口文件,攻击者通过POST提交恶意大量的提交,不断的访问xmlrpc.php文件,形成DDOS攻击,致使网站服务器CPU过高停机,网站无法打开。 解决方法 解决wordpress网站xmlrpc.php文件被恶意攻击,最好的方法就是关闭掉自己网站xmlrpc.php文件。 方法如下: 第一步:在自己网站使用的wordpr...
基于宝塔面板的Wordpress站点安全防护要点(亲测有效)
最新发布
letao_的博客
07-27 1089
结合自己网站的实际运维经历,分“宝塔面板”和“Wordpress后台两类来分享目前我常用的安全配置,①禁止访问xmlrpc.php,②禁止访问获取所有用户的用户名,③获取用户真实IP, ④安装限制登录尝试插件,⑤安装限制IP进入登录后台插件
利用xmlrpc.phpWordPress进行暴力破解攻击
cnbird's blog
07-28 2330
这种利用xmlrpc.php的攻击可以绕过这些限制。攻击的方式直接POST以下数据到xmlrpc.php. xml version="1.0" encoding="iso-8859-1"?> methodCall>   methodName>wp.getUsersBlogsmethodName>   params>    param>value>usernamevalue>param>    p
WordPress 利用 XMLRPC 高效爆破 原理分析
yinjie19930203的博客
10-12 1898
mlrpcWordPress 中进行远程调用的接口,而使用 xmlrpc 调用接口进行账号爆破在很早之前就被提出并加以利用。近日 SUCURI 发布文章介绍了如何利用 xmlrpc 调用接口中的 system.multicall 来提高爆破效率,使得成千上万次的帐号密码组合尝试能在一次请求完成,极大的压缩请求次数,在一定程度上能够躲避日志的检测。 0x01 原理分析 WordPr
php xmlrpc
yihaoxue的博客
01-16 260
Web Service就是为了异构系统的通信而产生的,它基本的思想就是使用基于XML的HTTP的远程调用提供一种标准的机制,而省去建立一种新协议的需求。目前进行Web Service通信有两种协议标准,一种是XML-RPC,另外一种是SOAP。XML-RPC比较简单,出现时间比较早,SOAP比较复杂,主要是一些需要稳定、健壮、安全并且复杂交互的时候使用。PHP中集成了XML-RPC和SOAP两...
WordPressxmlrpc.php完整指南(功能、安全风险、如何禁用)
06-18 1893
XML-RPC是支持WordPress与其他系统之间通信的规范。它通过使用HTTP作为传输机制和XML作为编码机制来标准化这些通信来实现此目的。XML-RPC早于WordPress:它出现在b2博客软件中,该软件于2003年创建了WordPress。该系统的代码存储在站点根目录下的xmlrpc.php文件中。即使XML-RPC在很大程度上已经过时,它仍然存在。在WordPress的早期版本中,默认情况下已关闭XML-RPC。但是从3.5版开始,默认情况下已启用它。
Ub.XMLRPC.rar_xmlrpc
09-22
在这个"Ub.XMLRPC.rar_xmlrpc"压缩包中,我们很可能是找到了一个C#实现的XMLRPC接口开发示例,用于web开发,目的是与其他接口进行对接。 XMLRPC的核心概念包括以下几个方面: 1. **客户端**:客户端是发起RPC调用...
xmlrpc.php+wp,解决WordPress网站被利用xmlrpc.php文件攻击问题
weixin_42663213的博客
03-11 351
WordPress网站若出现资源占用高、甚至WEB卡死的情况。可能在于使用的WORDPRESS程序默认xmlrpc.php开启,而被用来DDOS攻击导致占用资源过高!如何解决这个问题呢?寻找网上的解决方法,目前可以用到3个方法:第一种是屏蔽 XML-RPC (pingback) 的功能。add_filter( 'xmlrpc_methods', 'remove_xmlrpc_pingback_pi...
crack_wordpress:wordpress暴力破解工具
05-03
crack_wordpress 1.参数化操作 2.内置两种暴力破解方式,通过wp-login模拟发包登录或者采用xmlrpc.php post数据包均可。 3.内置自动获取用户名功能。/?author=1 还有rss 两种方式获取。由于wp主题众多,匹配正则太少,所以会不准。配合百度爬虫试了一下效果,准确率70%。 使用方法: 新建pass.txt并且添加测试密码。 -u 后面接wp的url 记得带上http:// -a 后面跟用户名 默认是admin -g 自动判断管理员用户名,准确率较低。获取用户名后自动退出。 -w 用 /wp-login.php 模拟后台网页登录 -x 用 /xmlrpc.php接口 POST登录
rainfall:WordPress XMLRPC 暴力破解工具
06-24
#WPiolt ================================================== ============================================== WPiolt - 通过 XML-RPCWordpress Bruteforce 工具。 基本版仅提供有限的功能。 开发人员:Andy Yang 版本:0.1.0 许可证:GPLv3 ================================================== ============================================== RainMak3r@Could: ~/桌面# ruby​​ WPiolt.rb -h 用法示例: ./WPilot.rb -t 'www.target.com' -d '/User/eve
phpxmlrpc详细讲解与实例
05-22
PHP中集成了XML-RPC和SOAP两种协议的访问,都是集中在xmlrpc扩展当中。另外,在PHP的PEAR中,不管是PHP 4还是PHP 5,都已经默认集成了XML-RPC扩展,而且该扩展跟xmlrpc扩展无关,能够独立实现XML-RPC的协议交互,如果没有xmlrpc扩展,建议使用PEAR::XML-RPC扩展。 我们这里主要是以XML-RPC来简单描述Web Service的交互过程,部分内容来自PHP手册,更详细内容,建议参考手册。
wordpress后台暴力破解
m0_71366428的博客
12-14 1071
暴力破解漏洞的产生是由于服务器端没有做限制,导致攻击者可以通过暴力的手段破解所需信息,如用户名、密码、短信验证码等。暴力破解的关键在于字典的大小及字典是否具有针对性,如登录时,需要输入4位数字的短信验证码,那么暴力破解的范围就是0000~9999。
WordPress xmlrpc.php 漏洞利用
xj28555的博客
05-15 4443
WordPress采用了XML-RPC接口.并且通过内置函数WordPress API实现了该接口内容。 所以,你可要通过客户端来管理Wordpress。 通过使用WordPress XML-RPC, 你可以使用业界流行博客客户端Weblog Clients来发布你的WordPress日志和页面。同时,XML-RPC 也可使用extended by WordPress Plugins插件来自定义你的规则。 0X01 激活XML-RPC 从3.5版本开始,XML-RPC功能默认开启。 早些版本,可通过.
wordpress优化禁用xml-rpc,删除xmlrpc.php防止暴力破解
帅气的可乐
08-16 6384
在functions.php的文件头部加入如下代码: add_filter('xmlrpc_enabled','__return_false'); 如图所示,添加OK后,点击更新按钮即可,这样就关闭XML-RPC功能。 如何知道自己是否禁止成功,在wordpress的安卓客户端的程序日志可以看到“本站点禁用XML-RPC服务”的红色字样,记得删除服务器里的xmlrpc.php。 当然还
wordpress后台暴力破解(python)
收集盒 Book box
07-03 1245
#Coding = UTF-8  02 import urllib, time, sys  03  04 start = time.time()  05 errors = []  06 def exploit(url, name, dictionary):  07 for line in open(dictionary):  08 line = line.
xmlrpc.php 漏洞
06-01
XML-RPC 是一种远程过程调用(RPC)协议,它使用 XML 来编码其调用和响应消息。XML-RPC 协议中的一个漏洞是 xmlrpc.php 漏洞,这是一种常见的 Web 应用程序漏洞。 攻击者可以利用这个漏洞,将恶意代码注入到 xmlrpc.php 文件中,然后通过远程调用来执行这些恶意代码,从而获得对系统的控制权。攻击者可以使用这个漏洞来进行各种攻击,如代码执行、文件读取、SQL 注入、拒绝服务等。 要防止 xmlrpc.php 漏洞,应该采取以下措施: 1. 禁用 xmlrpc.php 文件,或者限制其访问权限。 2. 更新 Web 应用程序到最新版本,以修复潜在的漏洞。 3. 使用防火墙,限制对 xmlrpc.php 文件的访问。 4. 使用安全插件,如 Wordfence,以检测和防止攻击。 总之,保持 Web 应用程序的安全性是非常重要的,应该采取适当的措施来防止 xmlrpc.php 漏洞和其他潜在的安全问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值