📜  WPrecon – CMS WordPress 中的漏洞识别工具(1)

📅  最后修改于: 2023-12-03 15:35:45.209000             🧑  作者: Mango

WPrecon - CMS WordPress中的漏洞识别工具

WPrecon是一个用于识别CMS WordPress网站中存在的漏洞的工具。该工具基于Python编写,使用简单,可以帮助程序员及安全测试人员快速了解WordPress中存在的安全漏洞,以便进一步加强网站的安全措施。

主要功能

WPrecon的主要功能包括:

  • 探测网站是否使用WordPress CMS
  • 识别网站的WordPress版本
  • 查询已知漏洞信息并给出可能的攻击向量
  • 识别公共目录和敏感文件
环境要求

WPrecon需要在Python环境下运行,建议使用Python 3.5以上版本。

安装方法

可以通过GitHub来获取WPrecon的源代码,并进行安装和配置。

git clone https://github.com/blackcrw/wprecon.git
cd wprecon/
python3 -m pip install -r requirements.txt
使用方法

使用WPrecon非常简单,只需要指定要扫描的网站URL即可。

python3 wprecon.py --url http://example.com

此外,还可以指定其他参数以增强扫描能力。

python3 wprecon.py --url http://example.com --verbose 2 --themes 1

WPrecon支持的参数包括:

  • --url:要扫描的网站URL
  • --verbose:输出详细信息的级别(0-取消输出,1-默认输出,2-详细输出),默认为1
  • --themes:是否检测网站的WordPress主题(0-不检测,1-检测),默认为0
  • --plugins:是否检测网站的WordPress插件(0-不检测,1-检测),默认为0
  • --users:是否检测网站的WordPress用户(0-不检测,1-检测),默认为0
  • --vulns:是否检测网站中存在的漏洞(0-不检测,1-检测),默认为1
输出结果

WPrecon的输出结果非常详细,可以帮助开发人员了解网站的安全状况。以下是一部分的示例输出:

[+] WordPress detected!

[+] WordPress version: 5.7.2

[+] WordPress installed in: /var/www/html/

[+] WordPress readme found: http://example.com/readme.html
File readme.html is available and the version is 5.7.2

[+] Checking for WordPress updates...
WordPress is Up to date!

[+] WordPress theme in use: twentynineteen
- theme path: /var/www/html/wp-content/themes/twentynineteen

[+] WordPress plugins
No plugins found.

[+] WordPress users
No users found.

[+] Searching vulnerabilities for WordPress 5.7.2
Vulnerability found (WordPress < 5.7.2 - Authenticated Post Type Bypass)
总结

WPrecon是一款功能强大的CMS WordPress漏洞识别工具,可以帮助程序员及安全测试人员快速了解WordPress网站的安全漏洞,从而进一步提高网站的安全性。使用WPrecon,可以有效减少人工工作量,提高工作效率。