Wordpress: herramienta de Brute Force

20:26 1 Comments A+ a-


Existe una herramienta muy buena para la auditoría de CMS WordPress, su nombre es Wpscan; la cual permite realizar un análisis de vulnerabilidades para este tipo de gestor de contenidos. Además, esta herramienta permite realizar un ataque de fuerza bruta, el problema radica -principalmente- en que en dicho ataque  la tool entrega muchos falsos positivos, por esta razón se comprobó que no es muy fiable al momento de su utilización.


Con esta problemática a la vista,  se desarrolló una herramienta escrita en Python la cual se denominó BruteWP. Esta herramienta permite realizar un ataque de fuerza bruta de manera efectiva y para cualquier versión de WordPress.

Como se puede observar en la imagen anterior, este script requiere parámetros obligatorios como son, la URL ejemplo : www.mipagina.com/wp-login.php, el username (Para obtener el username se puede utilizar la herramienta Wpscan), y finalmente el diccionario.

Forma de uso:


Código: Bash
  1. ./BruteWP.py -h
  2. ./BruteWP.py -t [target] -u [user] -w [wordlist] -r [restaurar ataque]

El valor agregado que posee BruteWP, es que si se desea pausar el escaneo, es posible reanudarlo en cualquier momento con la opción -r, esto es muy útil, ya que así se podrá continuar con la auditoría sin ningún problema.



Más sobre esta herramienta: Underc0de



1 comentarios:

Write comentarios
Unknown
AUTHOR
26 de agosto de 2015, 20:54 delete

Una herramienta bastante peligrosa para los que usan una contraseña debil. Aunque si usas latch no hay de que preocuparse.

Reply
avatar