WordPress系统暴力破解测试工具 – wpbf

90_

wpbf这款工具可以帮助渗透测试人员，针对WordPress博客后台进行爆破测试。
特性
用户名枚举和发现

[AppleScript] 纯文本查看 复制代码

多线程
自动使用博客内容中的关键字作为字典
HTTP代理支持
基本的Wordpress指纹探测
高级指纹探测插件

基本使用方法

[AppleScript] 纯文本查看 复制代码

$ ./wpbf.py http://localhost/wordpress/
2012-02-26 14:26:18,793 - INFO - Target URL: http://localhost/wordpress/
2012-02-26 14:26:18,844 - INFO - Checking URL and username...
2012-02-26 14:26:18,845 - INFO - Enumerating users...
2012-02-26 14:26:52,027 - INFO - Usernames: admin, test, guest
2012-02-26 14:26:54,153 - INFO - 31 plugins will be tested
2012-02-26 14:26:55,311 - INFO - 215 passwords will be tested
2012-02-26 14:26:55,369 - INFO - Starting workers...
2012-02-26 14:26:56,685 - INFO - WordPress version: 3.0.1
2012-02-26 14:26:57,570 - INFO - WordPress path in server: /var/www/wordpress/
2012-02-26 14:27:08,624 - INFO - Plugin 'akismet' was found
2012-02-26 14:27:10,292 - INFO - Plugin 'akismet' version: 2.5.5 (more info @ http://localhost/wordpress/wp-content/plugins/akismet/readme.txt)
221 tasks left / 2.1 tasks per second / 1.76min left
199 tasks left / 2.2 tasks per second / 1.51min left
172 tasks left / 2.7 tasks per second / 1.06min left
21 tasks left / 1.6 tasks per second / 0.22min left
2012-02-26 14:57:23,245 - INFO - Password 'qawsed' found for username 'admin' on http://localhost/wordpress/wp-login.php

用户名枚举

[AppleScript] 纯文本查看 复制代码

$ ./wpbf.py -eu [url]http://www.mysite.com/blog/[/url]

下载地址
http://github.com/atarantini/wpbf

xiaocaicai

自动使用博客内容中的关键字作为字典
这条是说不需要自己的字典么？

夏殇

刚测试了十几个wordpress，一个没破出来。没想象中的好用

零点

需要自己的字典

gty48

谢谢分想了，不过最近github打不开 我的问题？
能不能发在网盘？

契约

gty48 发表于 2014-6-20 14:00
谢谢分想了，不过最近github打不开 我的问题？
能不能发在网盘？

可以打开的啊 你网络的问题吧？

efupay

收下了 去试试咋样

月光族

英文不是很好

Kirito

国外玩意，我在国外网站看到过，没几天国内就有人发了。 =。=

广岛秋泽

谢谢分享~