WPrecon – CMS WordPress 中的漏洞识别工具
漏洞是可能危及信息系统或 Web 应用程序的机密性、完整性或可用性的缺陷。漏洞识别涉及发现漏洞并将其记录到目标环境中的清单中的过程。漏洞识别是渗透测试的关键步骤。因此,要执行此步骤,有多种方法。 Wprecon 是一个用 Golang 语言设计的自动化脚本,用于识别 WordPress 站点中的漏洞。但是,它也可以与非 WordPress 网站一起使用。 Wprecon (WordPress Recon) 是 CMS WordPress 中的漏洞识别工具。 Wprecon 枚举用户名,枚举插件,并执行暴力破解以找出目标域上的凭据。
注意:由于 Wprecon 是一个基于 Golang 语言的工具,所以你的系统上需要有一个 Golang 环境。因此,请检查此链接以在您的系统中安装 Golang。 – 在 Linux 中安装 Go 语言
Wprecon 工具的特点
- Wprecon 工具用于查找 WordPress CMS 中的漏洞。
- Wprecon 工具是用 Golang 语言设计的。
- Wprecon 列举了网站上使用的用户名和插件。
- Wprecon 执行凭证的暴力破解。
- Wprecon 工具是开源的,可以免费使用。
- Wprecon 工具执行 WAF 检测。
- Wprecon 工具支持代理。
在 Kali Linux OS 上安装 Wprecon 工具
步骤1 :如果你的系统中已经下载了Golang,通过检查Golang的版本来验证安装,使用以下命令。
go version
步骤 2 :从 Github 获取 Wprecon 存储库或克隆 Wprecon 工具,使用以下命令。
sudo go get github.com/blackbinn/wprecon
步骤 3 :将目录移动到克隆 Wprecon 工具的位置。
cd $(go env GOPATH)/src/github.com/blackbinn/wprecon
第 4 步:使用以下命令列出目录的内容
ls
第 5 步:构建用于下载其他 Github 存储库的工具
sudo make build
第6步:查看帮助菜单页面以更好地了解Wprecon工具,使用以下命令。
wprecon -h
在 Kali Linux 操作系统上使用 Wprecon 工具
WordPress CMS 目标 1 – geeksforgeeks.org
在这个例子中,我们在 WordPress 站点上执行 WordPress Recon,即 geeksforgeeks.org
示例 1 :枚举 WordPress 用户
wprecon --url https://geeksforgeeks.org
1. 在本例中,我们枚举与目标域 geeksforgeeks.org 相关联的用户。我们已经获得了与 geeksforgeeks.org 链接的用户列表
示例 2 :枚举 WordPress 插件
wprecon --url https://geeksforgeeks.org
1. 在这个例子中,我们列举了目标域中使用的 WordPress 插件。
示例 3 :Fuzz 子命令 WPrecon
wprecon fuzz -u “https://geeksforgeeks.org” –backup-file –random-agent
在此示例中,如果目标域上可用,我们将对后台文件进行模糊测试。在下面的屏幕截图中,您可以看到 geeksforgeeks.org 上没有可用的备份文件。
WordPress CMS 目标 2 – secnhack.in
1. 在本例中,我们将针对使用 WordPress 设计的域。
示例 1 :枚举 WordPress 用户
wprecon --url https://secnhack.in
在此示例中,我们将枚举与目标域 secnhack.in 关联的用户。我们已经获得了与 secnhack.in 链接的用户列表
示例 2 :枚举 WordPress 插件
wprecon --url https://secnhack.in
在此示例中,我们将枚举目标域中使用的 WordPress 插件。
示例 3 :设置用户名攻击密码和设置词表攻击密码。
wprecon fuzz -u “https://secnhack.in” user -P /home/kali/Desktop/rockyou.txt
1. 在本例中,我们将使用 Fuzz 子命令在目标域上暴力破解用户名和密码凭据。我们提供了包含密码词的rockyou.txt 文件。
2. 在下面的屏幕截图中,我们显示了包含可能的密码词的 Rockyou.txt 文件内容。
更多关于 Wprecon 工具(GUI 版本)
如果任何用户感到复杂或不知道如何在 Linux 操作系统上操作 Wprecon 工具,请不要担心。此 Wprecon 工具有一个 GUI 版本,它基于基于 Web 的应用程序。下面列出了指向基于 GUI 的版本的链接。
https://wprecon.com/
让我们使用 Wprecon 工具的 GUI 版本
1. 我们的目标域是 geeksforgeeks.org。
2. 在下面的屏幕截图中,数据包正在发送到目标域以获取结果。
3. 在下面的截图中,我们得到了被动分析的结果,包括 WordPress 版本、服务器详细信息等。
4. 在下面的屏幕截图中,我们获得了使用的插件和主题的详细信息。
5. 在下面的屏幕截图中,我们获得了用户和目录索引的详细信息。
6. 在下面的屏幕截图中,我们获得了链接站点的详细信息。
7. 在下面的屏幕截图中,我们获得了 JavaScript 资源的详细信息。