wpbf - WordPress暴力工具

wpbf是一个基于Python的强力工具，用于在WordPress站点上远程测试密码强度，用户名枚举和插件检测。这个怎么运作该脚本将尝试使用枚举的用户名，单词列表和博客内容中的相关关键字，通过登录表单登录WordPress仪表板。如果给出了单个用户名，则脚本将不会搜索其他用户名。找到正确的用户名/密码后，它将被记录并显示在标准输出中。为了获得更快的结果，您可以生成线程，但要小心不要泛滥/ DoS站点。可以在“ config.py ”和“ logging.conf”文件中更改默认设置。wordlist必须每行有一个条目，提供一个小的wordlist（wordlist.txt）和插件列表（plugins.txt）用于测试目的。注意：它需要Python 2.6 。特征：

用户名枚举和检测（TALSOFT-2011-0526，作者的存档页面和内容解析）

主题

使用词汇表中博客内容的关键字

HTTP代理支持

基本的WordPress指纹（版本和完整路径）

高级插件指纹（暴力，发现和版本/文档）

检测Login LockDown插件（此插件使暴力无用）

使用Python的日志记录库和日志配置文件进行高级日志记录

用法：wpbf.py [-h] [-w WORDLIST] [-u USERNAME] [-s SCRIPTPATH] [-t THREADS] [-p PROXY] [-nk] [-eu]网址wpbf将审核并强制您的WordPress安装以测试密码强度，服务器配置，用户和已安装的插件。它目前支持线程和HTTP代理，并提供一个非常小的默认wordlist（a默认情况下，从博客的内容和基本生成动态wordlist用户名检测。位置参数：  url基本URL安装WordPress的位置可选参数：-h， -  help显示此帮助消息并退出  -w WORDLIST， -  wordlist WORDLIST worldlist文件（默认值：wordlist.txt）  -nk， -  nokeywords不搜索内容中的关键字并将其添加到 词汇表  -u USERNAME， -  username USERNAME 用户名（默认值：无）  -s SCRIPTPATH， -  scriptpath SCRIPTPATH 登录表单的路径（默认值：wp-login.php）  -t THREADS， - --threads THREADS  脚本将产生多少个线程（默认值：5）  -p PROXY， -  proxy PROXY  http代理（例如：http：// localhost：8008 /）  -nf， -  nofingerprint不指纹WordPress  -eu， -  enumerateusers  仅枚举用户（不使用强制执行）  -mu MAXUSERS， -  maxusers MAXUSERS  要枚举的最大用户名数（默认值：no限制）-  ENUMERATETOLERANCE， -  enumeratetolerance ENUMERATETOLERANCE 在用户名枚举中使用的用户ID间隙容差（默认值：3）  -nps， -  nopluginscan跳过插件强力，枚举和指纹  找到密码后-ds， -  extendstop不会停止，继续全部待定任务  --test运行python doctests（你可以在这里使用虚拟URL）

例子：

基本

它将使用默认设置（您可以更改config.py文件中的默认设置）：$ ./wpbf.py http://www.mysite.com/blog/

习惯

使用用户名john，不使用wordlist中的关键字和本地代理：$ ./wpbf.py --nokeywords -u john -p http：// localhost：8008 / http://www.mysite.com/blog/

激进

它将使用默认设置并生成23个线程：$ ./wpbf.py-t 23 http://www.mysite.com/blog/

用户名枚举

仅执行用户枚举：$ ./wpbf.py -eu http://www.mysite.com/blog/下载地址：https://github.com/atarantini/wpbf/releases

你可能喜欢

WordBrutePress - 多线程Wordpress强制执行工具

WPSeku - Wordpress漏洞扫描工具