首页 加密与解密正文

Wpscan使用教程-Wordpress网站漏洞扫描

云水 加密与解密 2020-04-09 09:57:38 1123 0 Wpscan

严正声明:本文仅限于技术探讨,严禁用于其他目的。

Wpscan是专门检查Wordpress网站漏洞的工具,它可以全面检查wp网站的漏洞,有助于我们增加网站安全防护。但是也有人使用Wpscan渗透别人的网站,最近我客户的网站就被黑了,现在简单把使用wpsan检查网站漏洞的教程分享给大家,同时会有教程检查自己网站的密码强度。

Wpscan不支持Windows系统,只支持Linux和Mac系统,因此如果我们是Windows系统,可以安装虚拟机来实现。

一 更新wpscan到最新版本:

命令:wpscan –update

更新完成后,我们看到最新的版本是3.3.1。

二 输入我们要检查的WP网站

我以自己的网站为例:www.kyweb.net ,首先扫描这个网站可能出现的漏洞

命令:wpscan -url www.kyweb.net

通过扫描我们发现网站有一个插件过期了,这就需要我们及时更新,出现感叹号提示就是需要我们注意的,如果出现红色,就说明网站有漏洞,现在来看这个网站是没有插件漏洞的。

同时我们可以使用其他命令,检查我们网站的其他信息,安装和命令教程请访问:https://wpscan.org。

三 对网站用户进行枚举

命令:wpscan –url www.kyweb.net –enumerate u

接下来我们找到 User identified 就可以看到网站的登录用户名:

四 对网站密码进行暴力破解

首先我们需要密码字典,在这里我们用curnch创建密码字典(需要安装curnch),curnch是一款专门的密码字典生成软件,我们简单测试,使用curnch创建2位数密码,并且保存到wd.txt文件。

更新crunch,命令:crunch –update

使用curnch创建2位数密码,并且保存到wd.txt文件

命令:crunch 2 2 >>wd.txt

生成密码文件字典后,我们开始用wpscan暴力破解密码。

命令:wpscan –url www.kyweb.net –wordlist wd.txt –username 用户名

如果找到了相匹配的用户名与密码,工具将直接以admin:password的形式显示出来。

破解的关键是密码字典要足够强大。

针对暴力破解最安全的方法就是限制用户登录尝试次数,这样我们的网站才能更加安全。



版权声明

1.本站大部分下载资源收集于网络,不保证其完整性以及安全性,请下载后自行测试。
2.本站资源仅供学习和交流使用,版权归资源原作者所有,请在下载后24小时之内自觉删除。
3.若作商业用途,请购买正版,由于未及时购买和付费发生的侵权行为,与本站无关。
4.若内容涉及侵权或违法信息,请联系本站管理员进行下架处理,邮箱ganice520@163.com(本站不支持其他投诉反馈渠道,谢谢合作)

本文链接:http://apod.cc/index.php/post/331.html

发表评论

评论列表(0人评论 , 1123人围观)
☹还没有评论,来说两句吧...