📌 相关文章

📜 WPrecon – CMS WordPress 中的漏洞识别工具

📅 最后修改于: 2022-05-13 01:57:34.524000 🧑 作者: Mango

WPrecon – CMS WordPress 中的漏洞识别工具

漏洞是可能危及信息系统或 Web 应用程序的机密性、完整性或可用性的缺陷。漏洞识别涉及发现漏洞并将其记录到目标环境中的清单中的过程。漏洞识别是渗透测试的关键步骤。因此，要执行此步骤，有多种方法。 Wprecon 是一个用 Golang 语言设计的自动化脚本，用于识别 WordPress 站点中的漏洞。但是，它也可以与非 WordPress 网站一起使用。 Wprecon (WordPress Recon) 是 CMS WordPress 中的漏洞识别工具。 Wprecon 枚举用户名，枚举插件，并执行暴力破解以找出目标域上的凭据。

注意：由于 Wprecon 是一个基于 Golang 语言的工具，所以你的系统上需要有一个 Golang 环境。因此，请检查此链接以在您的系统中安装 Golang。 – 在 Linux 中安装 Go 语言

Wprecon 工具的特点

Wprecon 工具用于查找 WordPress CMS 中的漏洞。
Wprecon 工具是用 Golang 语言设计的。
Wprecon 列举了网站上使用的用户名和插件。
Wprecon 执行凭证的暴力破解。
Wprecon 工具是开源的，可以免费使用。
Wprecon 工具执行 WAF 检测。
Wprecon 工具支持代理。

在 Kali Linux OS 上安装 Wprecon 工具

步骤1 ：如果你的系统中已经下载了Golang，通过检查Golang的版本来验证安装，使用以下命令。

go version

步骤 2 ：从 Github 获取 Wprecon 存储库或克隆 Wprecon 工具，使用以下命令。

sudo go get github.com/blackbinn/wprecon

步骤 3 ：将目录移动到克隆 Wprecon 工具的位置。

cd $(go env GOPATH)/src/github.com/blackbinn/wprecon

第 4 步：使用以下命令列出目录的内容

ls

第 5 步：构建用于下载其他 Github 存储库的工具

sudo make build

第6步：查看帮助菜单页面以更好地了解Wprecon工具，使用以下命令。

wprecon -h

在 Kali Linux 操作系统上使用 Wprecon 工具

WordPress CMS 目标 1 – geeksforgeeks.org

在这个例子中，我们在 WordPress 站点上执行 WordPress Recon，即 geeksforgeeks.org

示例 1 ：枚举 WordPress 用户

wprecon --url https://geeksforgeeks.org

1. 在本例中，我们枚举与目标域 geeksforgeeks.org 相关联的用户。我们已经获得了与 geeksforgeeks.org 链接的用户列表

示例 2 ：枚举 WordPress 插件

wprecon --url https://geeksforgeeks.org

1. 在这个例子中，我们列举了目标域中使用的 WordPress 插件。

示例 3 ：Fuzz 子命令 WPrecon

wprecon fuzz -u “https://geeksforgeeks.org” –backup-file –random-agent

编程需要懂一点英语

在此示例中，如果目标域上可用，我们将对后台文件进行模糊测试。在下面的屏幕截图中，您可以看到 geeksforgeeks.org 上没有可用的备份文件。

WordPress CMS 目标 2 – secnhack.in

1. 在本例中，我们将针对使用 WordPress 设计的域。

示例 1 ：枚举 WordPress 用户

wprecon --url https://secnhack.in

在此示例中，我们将枚举与目标域 secnhack.in 关联的用户。我们已经获得了与 secnhack.in 链接的用户列表

示例 2 ：枚举 WordPress 插件

wprecon --url https://secnhack.in

在此示例中，我们将枚举目标域中使用的 WordPress 插件。

示例 3 ：设置用户名攻击密码和设置词表攻击密码。

wprecon fuzz -u “https://secnhack.in” user -P /home/kali/Desktop/rockyou.txt

编程需要懂一点英语

1. 在本例中，我们将使用 Fuzz 子命令在目标域上暴力破解用户名和密码凭据。我们提供了包含密码词的rockyou.txt 文件。

2. 在下面的屏幕截图中，我们显示了包含可能的密码词的 Rockyou.txt 文件内容。

更多关于 Wprecon 工具（GUI 版本）

如果任何用户感到复杂或不知道如何在 Linux 操作系统上操作 Wprecon 工具，请不要担心。此 Wprecon 工具有一个 GUI 版本，它基于基于 Web 的应用程序。下面列出了指向基于 GUI 的版本的链接。

https://wprecon.com/

让我们使用 Wprecon 工具的 GUI 版本

1. 我们的目标域是 geeksforgeeks.org。

2. 在下面的屏幕截图中，数据包正在发送到目标域以获取结果。

3. 在下面的截图中，我们得到了被动分析的结果，包括 WordPress 版本、服务器详细信息等。

4. 在下面的屏幕截图中，我们获得了使用的插件和主题的详细信息。

5. 在下面的屏幕截图中，我们获得了用户和目录索引的详细信息。

6. 在下面的屏幕截图中，我们获得了链接站点的详细信息。

7. 在下面的屏幕截图中，我们获得了 JavaScript 资源的详细信息。