wpbf是一个基于Python的强力工具,用于在WordPress站点上远程测试密码强度,用户名枚举和插件检测。
这个怎么运作
该脚本将尝试使用枚举的用户名,单词列表和博客内容中的相关关键字,通过登录表单登录WordPress仪表板。如果给出了单个用户名,则脚本将不会搜索其他用户名。
找到正确的用户名/密码后,它将被记录并显示在标准输出中。
为了获得更快的结果,您可以生成线程,但要小心不要泛滥/ DoS站点。可以在“ config.py ”和“ logging.conf”文件中更改默认设置。
wordlist必须每行有一个条目,提供一个小的wordlist(wordlist.txt)和插件列表(plugins.txt)用于测试目的。
注意:它需要Python 2.6 。
特征:
-
用户名枚举和检测(TALSOFT-2011-0526,作者的存档页面和内容解析)
-
主题
-
使用词汇表中博客内容的关键字
-
HTTP代理支持
-
基本的WordPress指纹(版本和完整路径)
-
高级插件指纹(暴力,发现和版本/文档)
-
检测Login LockDown插件(此插件使暴力无用)
-
使用Python的日志记录库和日志配置文件进行高级日志记录
用法:wpbf.py [-h] [-w WORDLIST] [-u USERNAME] [-s SCRIPTPATH] [-t THREADS] [-p PROXY] [-nk] [-eu]网址wpbf将审核并强制您的WordPress安装以测试密码强度,服务器配置,用户和已安装的插件。它目前支持线程和HTTP代理,并提供一个非常小的默认wordlist(a默认情况下,从博客的内容和基本生成动态wordlist用户名检测。
位置参数: url基本URL安装WordPress的位置可选参数:
-h, - help显示此帮助消息并退出
-w WORDLIST, - wordlist WORDLIST worldlist文件(默认值:wordlist.txt)
-nk, - nokeywords不搜索内容中的关键字并将其添加到 词汇表
-u USERNAME, - username USERNAME 用户名(默认值:无)
-s SCRIPTPATH, - scriptpath SCRIPTPATH 登录表单的路径(默认值:wp-login.php)
-t THREADS, - --threads THREADS 脚本将产生多少个线程(默认值:5)
-p PROXY, - proxy PROXY http代理(例如:http:// localhost:8008 /)
-nf, - nofingerprint不指纹WordPress
-eu, - enumerateusers 仅枚举用户(不使用强制执行)
-mu MAXUSERS, - maxusers MAXUSERS 要枚举的最大用户名数(默认值:no限制)- ENUMERATETOLERANCE, - enumeratetolerance ENUMERATETOLERANCE 在用户名枚举中使用的用户ID间隙容差(默认值:3)
-nps, - nopluginscan跳过插件强力,枚举和指纹 找到密码后
-ds, - extendstop不会停止,继续全部待定任务 --test运行python doctests(你可以在这里使用虚拟URL)
例子:
-
基本
它将使用默认设置(您可以更改config.py文件中的默认设置):
$ ./wpbf.py http://www.mysite.com/blog/
-
习惯
使用用户名'john',不使用wordlist中的关键字和本地代理:
$ ./wpbf.py --nokeywords -u john -p http:// localhost:8008 / http://www.mysite.com/blog/
-
激进
它将使用默认设置并生成23个线程:
$ ./wpbf.py-t 23 http://www.mysite.com/blog/
-
用户名枚举
仅执行用户枚举:
$ ./wpbf.py -eu http://www.mysite.com/blog/
下载地址:https://github.com/atarantini/wpbf/releases
你可能喜欢
文章评论