📜  WPrecon – CMS WordPress 中的漏洞识别工具

📅  最后修改于: 2022-05-13 01:57:34.524000             🧑  作者: Mango

WPrecon – CMS WordPress 中的漏洞识别工具

漏洞是可能危及信息系统或 Web 应用程序的机密性、完整性或可用性的缺陷。漏洞识别涉及发现漏洞并将其记录到目标环境中的清单中的过程。漏洞识别是渗透测试的关键步骤。因此,要执行此步骤,有多种方法。 Wprecon 是一个用 Golang 语言设计的自动化脚本,用于识别 WordPress 站点中的漏洞。但是,它也可以与非 WordPress 网站一起使用。 Wprecon (WordPress Recon) 是 CMS WordPress 中的漏洞识别工具。 Wprecon 枚举用户名,枚举插件,并执行暴力破解以找出目标域上的凭据。

注意:由于 Wprecon 是一个基于 Golang 语言的工具,所以你的系统上需要有一个 Golang 环境。因此,请检查此链接以在您的系统中安装 Golang。 – 在 Linux 中安装 Go 语言

Wprecon 工具的特点

  • Wprecon 工具用于查找 WordPress CMS 中的漏洞。
  • Wprecon 工具是用 Golang 语言设计的。
  • Wprecon 列举了网站上使用的用户名和插件。
  • Wprecon 执行凭证的暴力破解。
  • Wprecon 工具是开源的,可以免费使用。
  • Wprecon 工具执行 WAF 检测。
  • Wprecon 工具支持代理。

在 Kali Linux OS 上安装 Wprecon 工具

步骤1 :如果你的系统中已经下载了Golang,通过检查Golang的版本来验证安装,使用以下命令。

go version

步骤 2 :从 Github 获取 Wprecon 存储库或克隆 Wprecon 工具,使用以下命令。



sudo go get github.com/blackbinn/wprecon

步骤 3 :将目录移动到克隆 Wprecon 工具的位置。

cd $(go env GOPATH)/src/github.com/blackbinn/wprecon

第 4 步:使用以下命令列出目录的内容

ls

第 5 步:构建用于下载其他 Github 存储库的工具

sudo make build

第6步:查看帮助菜单页面以更好地了解Wprecon工具,使用以下命令。



wprecon -h

在 Kali Linux 操作系统上使用 Wprecon 工具

WordPress CMS 目标 1 – geeksforgeeks.org

在这个例子中,我们在 WordPress 站点上执行 WordPress Recon,即 geeksforgeeks.org

示例 1 :枚举 WordPress 用户

wprecon --url https://geeksforgeeks.org

1. 在本例中,我们枚举与目标域 geeksforgeeks.org 相关联的用户。我们已经获得了与 geeksforgeeks.org 链接的用户列表

示例 2 :枚举 WordPress 插件

wprecon --url https://geeksforgeeks.org

1. 在这个例子中,我们列举了目标域中使用的 WordPress 插件。

示例 3 :Fuzz 子命令 WPrecon



在此示例中,如果目标域上可用,我们将对后台文件进行模糊测试。在下面的屏幕截图中,您可以看到 geeksforgeeks.org 上没有可用的备份文件。

WordPress CMS 目标 2 – secnhack.in

1. 在本例中,我们将针对使用 WordPress 设计的域。

示例 1 :枚举 WordPress 用户

wprecon --url https://secnhack.in

在此示例中,我们将枚举与目标域 secnhack.in 关联的用户。我们已经获得了与 secnhack.in 链接的用户列表

示例 2 :枚举 WordPress 插件

wprecon --url https://secnhack.in

在此示例中,我们将枚举目标域中使用的 WordPress 插件。



示例 3 :设置用户名攻击密码和设置词表攻击密码。

1. 在本例中,我们将使用 Fuzz 子命令在目标域上暴力破解用户名和密码凭据。我们提供了包含密码词的rockyou.txt 文件。

2. 在下面的屏幕截图中,我们显示了包含可能的密码词的 Rockyou.txt 文件内容。

更多关于 Wprecon 工具(GUI 版本)

如果任何用户感到复杂或不知道如何在 Linux 操作系统上操作 Wprecon 工具,请不要担心。此 Wprecon 工具有一个 GUI 版本,它基于基于 Web 的应用程序。下面列出了指向基于 GUI 的版本的链接。

https://wprecon.com/

让我们使用 Wprecon 工具的 GUI 版本

1. 我们的目标域是 geeksforgeeks.org。



2. 在下面的屏幕截图中,数据包正在发送到目标域以获取结果。

3. 在下面的截图中,我们得到了被动分析的结果,包括 WordPress 版本、服务器详细信息等。

4. 在下面的屏幕截图中,我们获得了使用的插件和主题的详细信息。

5. 在下面的屏幕截图中,我们获得了用户和目录索引的详细信息。

6. 在下面的屏幕截图中,我们获得了链接站点的详细信息。

7. 在下面的屏幕截图中,我们获得了 JavaScript 资源的详细信息。