网络空间安全赛题解析-Wordpress爆破root账密

最新推荐文章于 2024-04-12 05:09:52 发布
最新推荐文章于 2024-04-12 05:09:52 发布
阅读量365 收藏
点赞数 3
分类专栏: 网络空间安全 攻防案例 文章标签: 安全 php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57099902/article/details/130594513
版权

目录

1:题目背景

2:题目描述

3:答案提交

4: 提交key

5: 关卡环境

6:参考步骤

1:题目背景

WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统CMS)来使用。WordPress是一个免费的开源项目,在GNU通用公共许可证下授权发布。

2:题目描述

一个网站是以Wordpress最新版本搭建,不存在已经发现的漏洞。这一关你需要爆破管理员账号密码,打开网站根目录的key.php文件,获取key。

3:答案提交

1、提交得到的key。

2、请提交操作过程报告,报告中要包含操作的关键过程描述并附截图,以WORD方式提交。

4: 提交key

key:hi wordpress

5: 关卡环境

VPC1(虚拟PC

工具场景:Windows XP操作系统/BT5

VPC2(虚拟PC

Window server xp

软件描述

使用工具场景集成的工具软件,参赛者也可以上传工具软件软件到工具场景。

关卡环境描述

1、学生机与实验室网络直连

2、VPC与实验室网络直连

3、学生机与VPC物理链路连通

6:参考步骤

1.打开浏览器,访问http://192.168.102.62。

 

2.使用kali下的wpscan扫描站点的用户。

使用命令:wpscan --url “http://192.168.102.62” -e u

 

 

3.将密码字典放在桌面。

使用命令:wpscan --url “http://192.168.102.62” --username admin --wordlist /root/Desktop/password.txt

 

 4.使用得到的账号密码登录。后台打开外观->编辑->首页模板。

 5.粘贴上webshell 代码,保存,访问主页,密码为412587。

 6.打开key.php,得到key:hi wordpress

 

你可知这世上再难遇我
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
WordPress 利用 XMLRPC 高效爆破 原理分析
yinjie19930203的博客
10-12 1863
mlrpc 是 WordPress 中进行远程调用的接口,而使用 xmlrpc 调用接口进行账号爆破在很早之前就被提出并加以利用。近日 SUCURI 发布文章介绍了如何利用 xmlrpc 调用接口中的 system.multicall 来提高爆破效率,使得成千上万次的帐号密码组合尝试能在一次请求完成,极大的压缩请求次数,在一定程度上能够躲避日志的检测。 0x01 原理分析 WordPr
wordpress爆破数据
u012795264的博客
03-05 794
某论坛用户数据
wordpress后台暴力破解_wordpress爆密码方法
最新发布
2401_83739931的博客
04-12 452
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
超简单利用burpsuite爆破wordpress后台密码
kuxing100的专栏
07-30 8785
原文:http://www.myhack58.com/Article/html/3/8/2013/39713.htm 什么是 Burp Suite? Burp Suite 是用于攻击 web 应用程序的集成平台。它包含了许多工具,并为这些工具设 计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示 HTTP消息,持久性,认证,代理,日志,警报的一个强大的可扩
Wordpress综合检测和爆破工具
weixin_34176694的博客
10-01 584
WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。 也可以把 WordPress当作一个内容管理系统(CMS)来使用。WordPress是一款个人博客系统,并逐步演化成一款内容管理系统软件,它是使用PHP语言和MySQL数据库开发的。用户可以在支持 PHP 和 MySQL数据库的服务器上使用自己的博客。 本程序来...
wordpress后台暴力破解_wordpress爆密码方法,2024年最新网络安全大厂面试题来袭
2401_84103771的博客
04-04 589
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~–url 指定目标url -e u 枚举用户名,默认1-10 -P 指定密码本路径。因篇幅有限,仅展示部分资料。还有大家最喜欢的黑客技术。
WordPress的管理员用户名是如何泄露的
fmz2222的博客
06-04 1652
WordPress 的管理员账户很容易就能获取,虽然说拿到了管理员账号,用处不是很大,但是不排除有些小白的密码是简单的数字密码。被攻击者爆破或者撞库成功,从而获得后台的管理员账户。那么。攻击者是怎样拿到你的Wordpress 【管理员用户名】的,以及如何保护自己的管理员账户不被获取,这篇文章就来谈谈!!!正在上传…重新上传取消1、先说说管理员账户如何泄露攻击者或者攻击程序构造了: 的URL进行GET,这样99%会返回一串信息,里面包含了你的管理员账户。如下: [{"id":1,"name":"d
博客空间WordPress v2.5.1 正式版-wordpress.zip
03-09
【博客空间WordPress v2.5.1 正式版-wordpress.zip】是一个包含WordPress的特定版本,即2.5.1的安装包。WordPress是一种广泛使用的开源内容管理系统(CMS),主要用于构建博客和网站。这个压缩包是针对博客空间设计...
CMSmap - WordPress Shell
03-24
CMSmap - WordPress Shell,是一款专为wordpress框架漏洞而设计的shell程序。它可以直接连接目标网站,以绕过一些安全措施,并利用漏洞获取目标网站的权限。需要注意的是,未经双方同意使用CMSmap攻击目标是非法的。...
博客空间WordPress v2.21生成html版-wordpress2-cn.zip
03-09
在标签中提到的“[博客空间]WordPress”,可能是一个专注于WordPress教学、资源分享或社区建设的平台。他们提供了这个HTML版本,旨在方便用户在不同环境下学习和使用WordPress知识,尤其是对于那些网络环境不稳定...
bitnami-docker-wordpress-nginx:使用NGINX的WordPress Bitnami Docker映像
02-05
本文将深入探讨"bitnami-docker-wordpress-nginx",这是一个专为WordPress设计的Bitnami Docker映像,利用高效能的NGINX服务器作为前端Web服务器。这个映像旨在提供一个简洁、安全且易于部署的WordPress环境,尤其...
Wordpress语言词典插件:Dictionary Box 1.0.zip
07-10
Dictionary Box提供了一个在你的页脚显示的双击发音的内置词典,这个插件非常适用于选择翻译,肯定有很多站长比较需要,学习型的网站,或者和外语相关的站点都很适用。另外他还有多种语言可以选择。 翻译结果不会另外打开网页,访客会停留在当前页面看到即时翻译。 支持的语言: chinese dictionary english french german glossary italian japanese korean language lexicon multilingual plugin portuguese Russian spanish thesaurus translator turkish
wordpress数据字典
04-01
wordpress2.7 数据字典 wordpress是出名的单用户博客,然后纵多的plugins让wordpress的功能扩展起来十分方便, 今天看了下初始安装的数据库结构,却什么简单明了
bitnami-docker-wordpressWordPress的Bitnami Docker映像
02-02
bitnami-docker-wordpressWordPress的Bitnami Docker映像
实验五 破解wordpress用户名及口令---http安全
橙子的博客
03-26 1785
本实验针对动态网站后台管理员用户及口令进行攻击,需要搭建wordpres个人博客网站。 需要两个虚拟机,Kali虚拟机作为攻击主机,rhel作为wordpress服务器平台(IP:192.168.111.128)。 第一部分:架设wordpress 1、配置基本apache服务。 [root@localhost 桌面]#yum install -y httpd [root@localhost 桌面...
Wordpress漏洞
热门推荐
Grey的博客
07-19 2万+
爆路径方法: 1.http://www.chouwazi.com/wp-admin/includes/admin.php   2.http://www.chouwazi.com/wp-content/plugins/akismet/akismet.php   3.http://www.chouwazi.com/wp-content/plugins/akismet/hello.php   4...
wordpress 入侵 wpscan
dzp443366的专栏
09-15 2711
WPScan是一款针对wwordpress安全扫描软件;WPScan可以扫描出wordpress的版本,主题,插件,后台用户以及爆破后台用户密码等。 可以自己本机搭建一个环境玩玩:点此查看 这里重复一下简单使用过程: wpscan --url www.xxx.com                 #扫描基本信息   wpscan --url www.xxx.com -
玩转代码|WordPress防止暴力破解管理员密码
Jum的博客
05-25 2123
一、author页面地址 author页面地址为 http://yoursite/?author=1 ID是自增的 请求这个地址会 301 到一个url,这个url里包含了作者的用户名。虽然不算漏洞,还是给了爆破者很大的便利。 301指向的url : .../author/你的后台登录用户名 解决方案 1.在主题代码里实现,只要访问主页url后头有author参数就让他跳到主页 将下面的代码添加到当前主题的functions.php 文件:
Wordpress 漏洞利用与后渗透
Y525698136的博客
01-11 1891
渗透这类 CMS 网站时,不要上来就狂扫,它大部分目录都是固定的,开源去看对应版本,商业的找几篇文章。特别 注意的是一定先去找对应版本漏洞,不要自己手工测基本行不通的。
some-wordpress
01-18
some-wordpress是一个Docker容器的名称,用于搭建WordPress博客网站。根据引用和引用提供的信息,可以得知以下内容: 1. some-wordpress容器运行的镜像是wordpress。 2. some-wordpress容器的端口映射是将主机的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你可知这世上再难遇我

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值