针对WordPress站点思路

最新推荐文章于 2024-03-24 11:00:00 发布
最新推荐文章于 2024-03-24 11:00:00 发布
阅读量270 收藏 1
点赞数
文章标签: php python
原文链接:http://www.cnblogs.com/NBeveryday/p/fuck-WordPress.html
版权

一.使用WPscan

1).简介

WPScan是一个扫描 WordPress 漏洞的黑盒子扫描器,它可以为所有 Web 开发人员扫描 WordPress 漏洞并在他们开发前找到并解决问题。我们还使用了 Nikto ,它是一款非常棒的Web 服务器评估工具,我们认为这个工具应该成为所有针对 WordPress网站进行的渗透测试的一部分。
Wordpress作为三大建站模板之一,在全世界范围内有大量的用户,这也导致白帽子都会去跟踪 WordPress的安全漏洞,* Wordpress自诞生起也出现了很多漏洞.Wordpress还可以使用插件、主题。于是Wordpress本身很难挖掘什么安全问题的时候,安全研究者开始研究其插件、主题的漏洞 *。通过插件,主题的漏洞去渗透Wordpress站点,于是WPScan应运而生,收集 Wordpress的各种漏洞,形成一个Wordpress专用扫描器。

2)功能:

该扫描器可以实现获取站点用户名,获取安装的所有插件、主题,以及存在漏洞的插件、主题,并提供漏洞信息。同时还可以实现对未加防护的Wordpress站点暴力破解用户名密码。

参考:https://xz.aliyun.com/t/2794

3)渗透过程

更新
wpscan --update
扫描
wpscan --url https://test343.example.com/test343/

后台用户扫描

枚举wordpress站点用户
wpscan --url https://test343.example.com/test343/ --enumerate u
爆破得到密码
wpscan --url https://test343.example.com/test343/ -e u --wordlist /tmp/password.txt

插件漏洞扫描

获取wordpress目标安装插件
wpscan --url https://test343.example.com/test343/ --enumerate p
扫描目标插件中的安全漏洞
wpscan --url https://test343.example.com/test343/ --enumerate vp

主题漏洞扫描

扫描目标使用的主题
wpscan --url https://test343.example.com/test343/ --enumerate t
扫描主题中存在的漏洞
wpscan --url https://test343.example.com/test343/ --enumerate vt

TimThumbs文件漏洞扫描

wpscan --url https://test343.example.com/test343/ --enumerate tt

二。其他

访问/xmlrpc.php文件是否存在。如果存在,使用wordbrutepress进行xml-rpc爆破

       python wordbrutepress.py -X -t http://172.16.12.2:8080/ -u zhangsan -w ./password.lst --timeout 50

** 待续。。。**

转载于:https://www.cnblogs.com/NBeveryday/p/fuck-WordPress.html

weixin_34008784
关注
wordpress 站点地图 制作思路
06-21
wordpress 站点地图 制作思路
[译]WordPress Pingback端口扫描(二)
iteye_16188的博客
10-15 276
原文地址:https://www.pentestgeek.com/2013/01/16/hard-coded-encryption-keys-and-more-wordpress-fun/ 使用metasploit的wordpress_pingback_access模块来进行扫描 该模块只需RHOST和一个可选的目标URI来扫描大量的web服务,以检查他们是否有漏洞。一个HEAD请求将会返回X...
wpscan专门针对wordpress的安全扫描工具
没刮胡子的程序员专栏
03-11 692
WPScan是一款专门针对WordPress的漏洞扫描工具,它使用Ruby编程语言编写。WPScan能够扫描WordPress网站中的多种安全漏洞,包括WordPress本身的漏洞、插件漏洞和主题漏洞。此外,WPScan还能扫描类似robots.txt这样的敏感文件,并检测当前已启用的插件和其他功能。WPScan的数据库中包含大量的插件漏洞和主题漏洞信息,可以帮助用户快速发现潜在的安全风险。
【网安神器篇】——WPScan漏洞扫描工具
最新发布
xnxqwzy的博客
03-24 1063
Wordpress作为三大建站模板之一,在全世界范围内有大量的用户,特别是学校网站非常爱用,这也导致白帽子都会去跟踪WordPress的安全漏洞,Wordpress自诞生起也出现了很多漏洞。Wordpress还可以使用插件主题。于是Wordpress本身很难挖掘什么安全问题的时候,安全研究者开始研究其插件、主题的漏洞。通过插件,主题的漏洞去渗透Wordpress站点,于是WPScan应运而生,收集Wordpress的各种漏洞,形成一个Wordpress专用扫描器WPScan是Kali Linux默认自带。
WordPress站点的渗透过程
热门推荐
whatiwhere的博客
06-02 1万+
实验环境 操作机 :Kali 2017 操作机IP:172.16.11.2 目标机:Windows 7 目标机IP:172.16.12.2 实验目的 学习WordPress站点的渗透过程 掌握WordPress后台暴力破解方法 知晓弱密码对网站的危害 实验工具 WPscan:WordPress站点漏洞扫描探测工具,用于探测站点存在的漏洞情况,可检测插件的漏洞 WordBrute...
wordpress渗透思路
Luce1234567890的博客
02-08 2482
WordPress是一个专注于PHP和MySQL的免费在线开源内容托管系统。这是一个功能强大且使用最多的博客工具。信息收集:后台地址:/wp-admin/ 访问后自动跳转置 后台登录界面用户名收集 :/?author=1 依次访问/author=1 ,2,3,4,5 …. 直到结束使用WpScanWPScan 是一个针对WordPress CMS 的安全扫描软件,在kali中自带了wpscan列举...
WordPress站点实现分类目录订阅功能实例
09-29
本文将详细讲解如何在WordPress站点中实现分类目录的订阅功能。 首先,我们来看WordPress的分类机制。它主要包含文章分类和标签等,利用这些分类机制,可以很容易地将内容进行逻辑分组,从而实现类似于门户网站二级...
wordpress博客多站点获取当前博客信息示例
09-29
随着版本的演进,WordPress发展出了支持多站点(Multisite)的功能,允许一个WordPress安装管理多个网站。在这样的环境下,每一个网站(包括主站点和子站点)都可以被视为一个独立的博客。而获取当前博客的信息对于...
WordPress站点
02-15
WordPress站点二】是一个基于WordPress构建的网站,它展示了如何使用特定主题以及对主题进行定制。WordPress是一个流行的开源内容管理系统(CMS),主要由PHP编写,用于构建动态网站和博客。PHP是一种广泛使用的...
搭建wordpress详细步骤和站点建设
07-05
本文将详细介绍如何使用WordPress在腾讯云主机上搭建网站并进行站点管理。 首先,我们需要了解WordPress是什么。WordPress是一个基于PHP语言和MySQL数据库的开源博客平台和内容管理系统(CMS)。它最初被设计为一个...
WordPress网站进行渗透测试 – 详解
zhalang8324的博客
01-13 5266
WordPress是一个专注于PHP和MySQL的免费在线开源内容托管系统。这是一个功能强大且使用最多的博客工具。 由于WordPress使用过程中出现了太多的错误,所以需要提高安全性。WordPress渗透测试对于发现漏洞并保护您的WordPress博客非常重要。 安全研究人员丹尼尔·西德说,在2016年,至少有15769个甚至更多的WordPress网站已经被入侵。 根据Su
Wordpress网站渗透测试(进阶详细思路)
weixin_51957047的博客
05-26 7076
web渗透测试,wordpress网站渗透测试思路
WPScan使用完整教程之记一次对WordPress的渗透过程
weixin_34265814的博客
09-23 2986
WPScan使用完整教程之记一次对WordPress的渗透过程 渣渣一枚,萌新一个,会划水,会喊六六 个人博客:https://www.cnblogs.com/lxz-1263030049/ 本文已发至i春秋:https://bbs.ichunqiu.com/thread-46194-1-1.html 先知社区:https://xz.aliyun.co...
timthumb.php外部链接,php – Timthumb没有在特定域中显示外部站点图像
weixin_39815435的博客
04-09 108
我在wordpress网站上使用timthumbs.但我列出了搜索此问题时发现的所有更改.我启用了“ALLOW_EXTERNAL”和“ALLOW_ALL_EXTERNAL_SITES”.//Image fetching and cachingif(! defined('ALLOW_EXTERNAL') )define ('ALLOW_EXTERNAL', TRUE);// Allow image ...
使用WordPress创建个人博客的详细流程
dongzhensong的博客
11-15 1万+
环境:一定金额的money,腾讯云虚拟主机,域名。 先看效果 振松心得 : 1.购买虚拟主机 即购买服务器,我购买的是腾讯云的,花了300多块,链接:https://cloud.tencent.com/ 2.购买域名并添加解析 同样我是在腾讯云购买的,买的比较便宜的 .xyz 后缀,花了19块。 购买过域名后可直接在腾讯云后台–域名管理中添加域名解析指向第一步购买的虚拟主机对应的ip下。 3...
Kali linux 渗透测试技术之搭建WordPress Turnkey Linux及检测WordPress 应用程序漏洞
freeking101的博客
06-30 5052
From:https://bbs.ichunqiu.com/thread-15716-1-1.html 怎样用 WPScan,Nmap 和 Nikto 扫描和检查一个 WordPress 站点的安全性:https://www.cnblogs.com/chayidiansec/p/7989274.html 为了收集用于测试的应用程序, Turnkey Linux是一个非常好的资源。 ...
实战案例之wordpress 站点搭建
张强的博客
03-31 1519
实战案例之wordpress 站点搭建 实验准备: 一台Nginx 两台Wrordpress Nginx+PHP 一台MySQL Master 一台MySQL slave 后端存储 两台NFS 相互rsync 注意:没有做负载高可用 只用了单个Nginx做的负载 部署数据库主从: wordpress对数据库要求为最少mysql5.6 所以去MySQL官网下载 本机的mysql-5.6.34-on...
站点搭建从零開始(五) WordPress的安装
diandingyin9417的博客
08-01 104
前面说了非常多废话。如今最终转到正题。WordPress的安装。 1、WordPress安装非常easy 假设你的server能通过应用中心一键安装WordPress,这一节就非常轻松了,基本上不须要做什么。可是考虑到那种新手的方式,以后假设换了server可能就不能进行安装了。而且有些需求还是不能用那种方式实现,所以学一下也好(主要是配置数据库、FTP,...
云端服务器WordPress站点导出教程
"这篇文档详细介绍了如何从云端服务器导出WordPress站点,主要涉及阿里云或腾讯云服务器上使用宝塔面板以及FTP工具FileZilla进行数据导出的步骤。" 在云计算环境中,WordPress站点通常部署在云端服务器上,如阿里云...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值