|
获得易于使用和免费的Wordpress安全扫描程序并不容易,WPSeku是其中一个,它是用Python编写的,所以可以移植到任何系统,包括Linux操作系统。WPSeku是一个黑盒子WordPress漏洞扫描程序,可用于扫描远程WordPress安装以查找安全问题,如果还没有安装WordPress请看在Ubuntu 18.04系统下搭建WordPress全过程。
安装WPSeku的方法 WPSeku Wordpress安全扫描程序工具需要python 3(参考:在CentOS 7/Ubuntu 16.04/Debian 9/macOS上安装Python 3.6的方法),如果你没有它,请确保在继续之前先安装它: # which python3 /usr/bin/python3 确认安装python3后,从Github安装WPSeku Wordpress安全扫描程序,Clone repository: $ git clone https://github.com/m4ll0k/WPSeku.git wpseku Cloning into 'wpseku'... remote: Counting objects: 310, done. remote: Compressing objects: 100% (80/80), done. remote: Total 310 (delta 34), reused 54 (delta 12), pack-reused 216 Receiving objects: 100% (310/310), 880.00 KiB | 528.00 KiB/s, done. Resolving deltas: 100% (163/163), done. 切换到wpseku目录: $ cd wpseku 使用pip3安装python依赖项。 确保已安装pip3(参考:在Ubuntu 18.04系统上使用Pip3来安装Django),对于Ubuntu和Debian,你可以使用以下命令安装它: $ sudo apt-get install python3-pip 然后: sudo pip3 install -r requirements.txt 运行wpseku.py脚本: $ python3 wpseku.py
使用WPSeku的方法 可以传递给wpseku.py脚本的一些选项是: -u -url,目标URL(例如:http://site.com) -b -brute,通过xmlrpc登录Bruteforce -U -user,为bruteforce设置用户名,默认为“admin” -s -scan,检查WordPress插件代码 -p -proxy,使用代理,(host:port) -c -cookie,设置HTTP Cookie标头值 -a -agent,设置HTTP用户代理标头值 -r -ragent,使用随机User-agent标头值 -R -redirect,设置重定向目标URL False -t -timeout,在超时连接之前等待的秒数 -w -wordlist,设置wordlist,默认为“db/wordlist.txt” -v -verbose,打印更多信息 -h -help,显示此帮助并退出 下面我们来看一些例子。 1、通用WPSeku扫描 $ python3 wpseku.py --url https://www.xxxxxxx.com --verbose 样本输出如下图:
2、扫描插件,主题和WordPress代码 你也可以扫描插件,主题和WordPress代码,类型: $ python3 wpseku.py --scan <dir/file> --verbose 其中/dir是WordPress安装目录的绝对路径,可以是父目录,插件或主题目录。 3、WPSeku Bruteforce登录 要执行暴力登录尝试,首先,你需要一个包含密码的字典列表来尝试,db/wordlist.txt上提供了一个示例文件: $ python3 wpseku.py --url https://www.xxxxxxx.com --brute --user test --wordlist wl.txt --verbose 用WordPress用户名替换用户,用你的密码wordlist替换和wl.txt。
相关主题 |
