使用 WPScan 查找 WordPress 安全漏洞

WPScan 是一个免费的、非商业用途的 WordPress 安全扫描程序,专为安全专业人员和博客维护人员编写,用于测试其网站的安全性。

在本文中,我们将安装和使用 WPScan 黑客工具。

安装

WPScan 预装在 Kali Linux 中。我们可以也可以在其他发行版上安装 WPScan。运行如下命令来安装 WPScan:

sudo apt install patch build-essential zlib1g-dev liblzma-dev ruby-dev
sudo gem install nokogiri
sudo gem install wpscan

# Or

git clone https://github.com/wpscanteam/wpscan
cd wpscan/
bundle install && rake install

用法

键入此命令以查看所有可用选项:

wpscan -h

输出看起来像:

使用 WPScan 查找 WordPress 安全漏洞
使用 WPScan 查找 WordPress 安全漏洞

例子

扫描你的网站:

wpscan --url http://example.com --rua

这里,--rua(random-user-agent) 用于随机选择用户代理。

查找易受攻击的插件和主题:

# plugins
wpscan --url http://example.com --rua --enumerate ap

# themes
wpscan --url http://example.com --rua --enumerate at

尝试寻找用户:

wpscan --url http://example.com --rua --enumerate u

执行蛮力攻击:可以从 GitHub 下载密码字典并进行攻击。

下载密码字典:

sudo apt install wordlists
ls /usr/share/wordlists/rockyou.txt.gz
gzip -d rockyou.txt.gz
ls -la /usr/share/wordlists/rockyou.txt

运行攻击:

wpscan --url http://example.com --rua -P /usr/share/wordlists/rockyou.txt -U 'admin', 'admin2'

作者:牛奇网,本站文章均为辛苦原创,在此严正声明,本站内容严禁采集转载,面斥不雅请好自为之,本文网址:https://www.niuqi360.com/security/install-and-use-wpscan-tool/

(0)
牛奇网牛奇网
上一篇 2021年11月25日 下午3:38
下一篇 2021年11月25日 下午4:19

相关推荐

发表回复

登录后才能评论
很多新手不知道如何选择外贸独立站主机,这里推荐一款使用量最大,性价比最高的国外独立站主机Hostinger,立即获取优惠