首先我认为Wordpress是一款非常成熟的世界性的CMS,目前除了皮肤插件等问题,其核心程序暴露出的致命问题并不太多,具体可以参见下图。(地址:https://www.exploit-db.com/search?q=wordpress&cve=&type=&platform=&port=&text=&e_author=&tag=)

对于此类漏洞的检测当然是wpscan比较好了。

言归正传吧,本次教程仅涉及Wordpress的两种爆破方式(因为目前没发现太适合我的Wordpress专用的爆破工具,所以仅做了破解功能)。先上图并对本次教程使用的工具进行简单介绍。

首先这款工具是由本人开发的,我设计这个工具的原因呢,是因为我目前人生中的三大问题,并不是我从哪来、到哪去、我是谁,而是Drupal、Joomla、Wordpress。

我会在教程中说明开发使用的大体思路,以便大家以后的开发,或使用中能更好地处理遇见的问题。

下面进行对靶机的模拟演练

在这里要提一句 如不支持xmlrpc爆破 程序会自动选择另一种模式。

成功登入 后面拿权限一类有诸多文章 不在此一一赘述。