使用WPScan扫描wordpress获取用户密码

声明：此文档仅供安全学习和教学用途，禁止非法使用。

wordpress的黑盒扫描器：wpscan

实验效果：枚举用户列表、暴力破解用户密码、

实验环境：

靶机：Turnkey Linux（wordpress版）

攻击机：kali linux 2.0

实验步骤：

• 搭建靶机换机：

1、下载镜像，官网https://www.turnkeylinux.org/  搜索wordpress下载只包含wordpress的turnkey linux 镜像。

2、在虚拟机中安装，步骤和普通系统安装一样，在安装的过程中多了配置wordpress的步骤，比如mysql的root用户密码、wordpress的admin密码、admin用户设置电子邮件（使用默认的即可）、初始化Hub信息（点击skip）等，出现WORDPRESS appliance services 页面表示安装成功，此页面显示了wordpress应用服务的详细信息，如web地址、webshell地址和端口、webmin地址、phpmyadmin地址和端口以及SSH/SFTP地址和端口等等。如图，

• 攻击：

（在实际安全渗透测试中假设已经找到了wordpress站点以及其他的一些信息）

1、更新漏洞库：wpscan �Cupdate

2、扫描目标主机可能存在的漏洞： wpscan -u http://192.168.61.133

3、枚举用户名列表：wpscan -u 192.168.61.133 �Ce u vp

4、使用字典破解用户密码：

wpscan -u 192.168.61.133 �Ce u --wordlist /root/wordlist.txt

结果

 

如何避免wordpress用户被枚举

不要把用户名当作昵称，并且不要使用已经被大众知道的用户名。最好的方式是选择一个包含随机字符的名字做用户名并且使用其他名字做昵称。Wpscan扫描url来获取用户名，所以如果你不适用这个用户名，你肯定不会被wpscan搜索到

如何避免wordpress密码被暴力破解

最好的方式避免暴力破解就是是指登录的次数和ip地址。最新版本的wordpress默认有这个选项。确保你的限制输入条目最大为3，增加锁定功能（即6次密码尝试就上锁）

 

Turnkey Linux 是一个基于 Ubuntu 8.04 LTS 的Linux 发行版。

TurnKey Linux是基于Ubuntu的虚拟应用程序库，它将一些最好的开放源码软件集成到完备可用的解决方案中。每一个虚拟应用程序都为易用性进行了优化，并能在数分钟内就部署在裸机、虚拟机及云中。每一个虚拟应用都可以光盘镜像或是虚拟机镜像的形式获得，而这份仍在增长的应用列表包括Bugzilla、 Django、Drupal、File Server、Joomla、LAMP、Magento、Mantis、MediaWiki、MoinMoin、Moodle、MovableType、 MySQL、Openbravo、phpBB、PostgreSQL、ProjectPier、Rails、Revision Control、StatusNet、Apache Tomcat、Torrent Server、Trac、TWiki、vtiger、WordPress、Zimra及其他。