WPScan 是一个免费的、非商业用途的 WordPress 安全扫描程序,专为安全专业人员和博客维护人员编写,用于测试其网站的安全性。
在本文中,我们将安装和使用 WPScan 黑客工具。
安装
WPScan 预装在 Kali Linux 中。我们可以也可以在其他发行版上安装 WPScan。运行如下命令来安装 WPScan:
sudo apt install patch build-essential zlib1g-dev liblzma-dev ruby-dev
sudo gem install nokogiri
sudo gem install wpscan
# Or
git clone https://github.com/wpscanteam/wpscan
cd wpscan/
bundle install && rake install
用法
键入此命令以查看所有可用选项:
wpscan -h
输出看起来像:
例子
扫描你的网站:
wpscan --url http://example.com --rua
这里,--rua
(random-user-agent) 用于随机选择用户代理。
查找易受攻击的插件和主题:
# plugins
wpscan --url http://example.com --rua --enumerate ap
# themes
wpscan --url http://example.com --rua --enumerate at
尝试寻找用户:
wpscan --url http://example.com --rua --enumerate u
执行蛮力攻击:可以从 GitHub 下载密码字典并进行攻击。
下载密码字典:
sudo apt install wordlists
ls /usr/share/wordlists/rockyou.txt.gz
gzip -d rockyou.txt.gz
ls -la /usr/share/wordlists/rockyou.txt
运行攻击:
wpscan --url http://example.com --rua -P /usr/share/wordlists/rockyou.txt -U 'admin', 'admin2'
作者:牛奇网,本站文章均为辛苦原创,在此严正声明,本站内容严禁采集转载,面斥不雅请好自为之,本文网址:https://www.niuqi360.com/security/install-and-use-wpscan-tool/