Wordpress: herramienta de Brute Force
Existe una herramienta muy buena para la auditoría de CMS WordPress, su nombre es Wpscan; la cual permite realizar un análisis de vulnerabilidades para este tipo de gestor de contenidos. Además, esta herramienta permite realizar un ataque de fuerza bruta, el problema radica -principalmente- en que en dicho ataque la tool entrega muchos falsos positivos, por esta razón se comprobó que no es muy fiable al momento de su utilización.
Con esta problemática a la vista, se desarrolló una herramienta escrita en Python la cual se denominó BruteWP. Esta herramienta permite realizar un ataque de fuerza bruta de manera efectiva y para cualquier versión de WordPress.
Como se puede observar en la imagen anterior, este script requiere parámetros obligatorios como son, la URL ejemplo : www.mipagina.com/wp-login.php, el username (Para obtener el username se puede utilizar la herramienta Wpscan), y finalmente el diccionario.
Forma de uso:
Código: Bash
- ./BruteWP.py -h
- ./BruteWP.py -t [target] -u [user] -w [wordlist] -r [restaurar ataque]
El valor agregado que posee BruteWP, es que si se desea pausar el escaneo, es posible reanudarlo en cualquier momento con la opción -r, esto es muy útil, ya que así se podrá continuar con la auditoría sin ningún problema.
Más sobre esta herramienta: Underc0de
1 comentarios:
Write comentariosUna herramienta bastante peligrosa para los que usan una contraseña debil. Aunque si usas latch no hay de que preocuparse.
Reply