WPscan升级后遇到的一些错误

本文记录了使用WPScan工具过程中遇到的更新问题及其解决方法,包括证书文件缺失导致的HTTPS验证失败及网络超时问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近需要对一个wp的站点进行一次测试,抄起了好久不用的wpscan来对站点进行一个前期的刺探,但是出现了一些问题,在这个地方mark一下

测试环境 win7 x64+pentestbox


今天用wpscan的时候爆了一个错误

C:\Users\Master\Desktop
> wpscan --url www.xxx.com --enumerate u
_______________________________________________________________
        __          _______   _____
        \ \        / /  __ \ / ____|
         \ \  /\  / /| |__) | (___   ___  __ _ _ __
          \ \/  \/ / |  ___/ \___ \ / __|/ _` | '_ \
           \  /\  /  | |     ____) | (__| (_| | | | |
            \/  \/   |_|    |_____/ \___|\__,_|_| |_|


        WordPress Security Scanner by the WPScan Team
                       Version 2.9.1
          Sponsored by Sucuri - https://sucuri.net
   @_WPScan_, @ethicalhack3r, @erwan_lr, pvdl, @_FireFart_
_______________________________________________________________


[i] It seems like you have not updated the database for some time.
[?] Do you want to update now? [Y]es [N]o [A]bort, default: [N]Y
[i] Updating the Database ...


[!] Unable to get https://data.wpscan.org/local_vulnerable_files.xml.sha512 (Problem with the SSL CA cert (path? access rights?))


这个提示第一眼看上去猜想可能是因为 wpscan后端调用了curl或者wget之类的请求,遇到了https://data.wpscan.org/local_vulnerable_files.xml 这个网站是个https的,所以出现这样的问题,直接--debug一下


C:\Users\Master\Desktop                                                                                                           
> wpscan --update --debug-output                                                                                                  
_______________________________________________________________                                                                   
        __          _______   _____                                                                                               
        \ \        / /  __ \ / ____|                                                                                              
         \ \  /\  / /| |__) | (___   ___  __ _ _ __                                                                               
          \ \/  \/ / |  ___/ \___ \ / __|/ _` | '_ \                                                                              
           \  /\  /  | |     ____) | (__| (_| | | | |                                                                             
            \/  \/   |_|    |_____/ \___|\__,_|_| |_|                                                                             
                                                                                                                                  
        WordPress Security Scanner by the WPScan Team                                                                             
                       Version 2.9.1                                                                                              
          Sponsored by Sucuri - https://sucuri.net                                                                                
   @_WPScan_, @ethicalhack3r, @erwan_lr, pvdl, @_FireFart_                                                                        
_______________________________________________________________                                                                   
                                                                                                                                  
[i] Updating the Database ...                                                                                                     
Hostname was NOT found in DNS cache                                                                                               
Adding handle: conn: 0x4160668                                                                                                    
Adding handle: send: 0                                                                                                            
Adding handle: recv: 0                                                                                                            
Curl_addHandleToPipeline: length: 1                                                                                               
- Conn 0 (0x4160668) send_pipe: 1, recv_pipe: 0                                                                                   
  Trying 192.124.249.104...                                                                                                       
Connected to data.wpscan.org (192.124.249.104) port 443 (#0)                                                                      
error setting certificate verify locations:                                                                                       
  CAfile: C:\PentestBox\base\curl\bin\ca-bundle.crt                                                                               
  CApath: none                                                                                                                    
Closing connection 0                                                                                                              
                                                                                                                                  
[!] Unable to get https://data.wpscan.org/local_vulnerable_files.xml.sha512 (Problem with the SSL CA cert (path? access rights?)) 


我的pentestbox默认安装在D:\盘,这个地方提示找不到这个证书文件。

临时解决方法,直接把这个文件复制一份,创建相同的目录放在这个C:\PentestBox\base\curl\bin\ca-bundle.crt 下,即可解决

还有一种错误:[!] Unable to get https://data.wpscan.org/local_vulnerable_files.xml.sha512 (Timeout was reached) 这是网络的问题,拨一下vpn换个网络环境试一下


后来,我这边解决了。

C:\Users\Master\Desktop
> wpscan --update
_______________________________________________________________
        __          _______   _____
        \ \        / /  __ \ / ____|
         \ \  /\  / /| |__) | (___   ___  __ _ _ __
          \ \/  \/ / |  ___/ \___ \ / __|/ _` | '_ \
           \  /\  /  | |     ____) | (__| (_| | | | |
            \/  \/   |_|    |_____/ \___|\__,_|_| |_|


        WordPress Security Scanner by the WPScan Team
                       Version 2.9.1
          Sponsored by Sucuri - https://sucuri.net
   @_WPScan_, @ethicalhack3r, @erwan_lr, pvdl, @_FireFart_
_______________________________________________________________


[i] Updating the Database ...
[i] Update completed.

03-08
### WPScan 使用指南和教程 #### 安装WPScan WPScan 是一款专门用于评估 WordPress 网站安全性的强大工具。为了使 WPScan 正常工作并最大化其效能,安装过程至关重要[^1]。 对于基于 Debian 的 Linux 发行版(如 Kali),可以通过以下命令来安装 WPScan: ```bash sudo apt-get update && sudo apt-get install wpscan ``` 另一种方式是从 GitHub 上克隆最新版本的 WPScan 并按照官方说明完成安装。 #### 配置WPScan 一旦成功安装了 WPScan 后,可以利用多种参数来自定义扫描行为。例如,通过指定 `--update` 参数可以让程序自动更新至最新的特征库;而 `-e` 或者 `--enumerate` 则允许枚举不同的组件,像插件(`p`)、主题(`t`)等。 #### 执行基本扫描操作 要对某个特定 URL 下面的 WordPress 实例进行全面检测,只需提供相应的网址作为输入即可: ```bash wpscan --url http://example.com/ ``` 这将会返回一系列可能存在的安全隐患报告,包括但不限于已知漏洞、弱密码账户以及过期未打补丁的核心文件等问题。 #### 枚举插件与主题漏洞 除了整体安全性审查外,还可以单独针对插件或主题实施更细致入微的风险排查。比如下面这条语句就是用来查找所有可用的主题及其潜在缺陷: ```bash wpscan --url https://www.xxxxx.com/wordpress --enumerate t ``` 同样地,如果想要检查插件方面的情况,则应替换为 `--enumerate p` 来代替上述命令中的 `t` 字母位置[^2]。 #### 特定文件风险分析——TimThumb 考虑到某些特殊情况下需要关注具体类型的资源是否存在危险状况,WPScan 还提供了专门面向 TimThumb 文件(主要用于处理图片缩放等功能)的安全测试选项: ```bash wpscan --url "https://target-system-url/" --enumerate tt ``` 此指令会尝试识别目标站点上是否有易受攻击版本的 TimThumb 组件存在,并给出进一步指导建议以协助修复发现的问题[^3]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值