WPrecon - CMS WordPress中的漏洞识别工具

WPrecon是一个用于识别CMS WordPress网站中存在的漏洞的工具。该工具基于Python编写，使用简单，可以帮助程序员及安全测试人员快速了解WordPress中存在的安全漏洞，以便进一步加强网站的安全措施。

主要功能

WPrecon的主要功能包括：

• 探测网站是否使用WordPress CMS
• 识别网站的WordPress版本
• 查询已知漏洞信息并给出可能的攻击向量
• 识别公共目录和敏感文件

环境要求

WPrecon需要在Python环境下运行，建议使用Python 3.5以上版本。

安装方法

可以通过GitHub来获取WPrecon的源代码，并进行安装和配置。

git clone https://github.com/blackcrw/wprecon.git
cd wprecon/
python3 -m pip install -r requirements.txt

使用方法

使用WPrecon非常简单，只需要指定要扫描的网站URL即可。

python3 wprecon.py --url http://example.com

此外，还可以指定其他参数以增强扫描能力。

python3 wprecon.py --url http://example.com --verbose 2 --themes 1

WPrecon支持的参数包括：

• --url：要扫描的网站URL
• --verbose：输出详细信息的级别（0-取消输出，1-默认输出，2-详细输出），默认为1
• --themes：是否检测网站的WordPress主题（0-不检测，1-检测），默认为0
• --plugins：是否检测网站的WordPress插件（0-不检测，1-检测），默认为0
• --users：是否检测网站的WordPress用户（0-不检测，1-检测），默认为0
• --vulns：是否检测网站中存在的漏洞（0-不检测，1-检测），默认为1

输出结果

WPrecon的输出结果非常详细，可以帮助开发人员了解网站的安全状况。以下是一部分的示例输出：

[+] WordPress detected!

[+] WordPress version: 5.7.2

[+] WordPress installed in: /var/www/html/

[+] WordPress readme found: http://example.com/readme.html
File readme.html is available and the version is 5.7.2

[+] Checking for WordPress updates...
WordPress is Up to date!

[+] WordPress theme in use: twentynineteen
- theme path: /var/www/html/wp-content/themes/twentynineteen

[+] WordPress plugins
No plugins found.

[+] WordPress users
No users found.

[+] Searching vulnerabilities for WordPress 5.7.2
Vulnerability found (WordPress < 5.7.2 - Authenticated Post Type Bypass)

总结

WPrecon是一款功能强大的CMS WordPress漏洞识别工具，可以帮助程序员及安全测试人员快速了解WordPress网站的安全漏洞，从而进一步提高网站的安全性。使用WPrecon，可以有效减少人工工作量，提高工作效率。