Wordpress网站渗透测试(进阶详细思路)

原创 已于 2023-05-11 09:15:02 修改 · 8.3k 阅读 · 50 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全 #php

于 2022-05-26 20:18:33 首次发布

wordpress网站渗透测试

WordPress是一款免费开源的内容管理系统(CMS)

WordPress官方站点
英文站点:https://wordpress.org
中文站点:https://cn.wordpress.org/

WordPress主要用于搭建网站,包括博客和其它各种类型的网站。它有非常多不同风格的主题来呈现不同的外观,通过使用不同的插件实现千变万化的功能,可以使用WordPress来创建不同类型的网站。

WordPress缺点
1、插件虽多,但是不能安装太多插件,否则会拖累网站速度和降低用户体验;
2、服务器空间选择自由较小;
3、静态化较差,最多只能生成首页和文章页静态页面,所以只能对整站实现伪静态化;
4、wordpress适合中小型的站点,轻量级的架构决定它不适合做大型站点;

wordpress渗透过程

注意:环境本人自己搭建

1.信息收集
2.网站爆破
3.上传木马
4.设置监听

网站ip:172.16.1.107

信息收集

nmap -sV -p- 172.16.1.107 探测目标靶机的服务版本信息

在这里插入图片描述
发现靶机开启22,80,443,8080端口
在这里插入图片描述

最低0.47元/天 解锁文章

200万优质内容无限畅学
48、网络应用安全漏洞深度剖析与应对策略
plant的博客
07-16 40
本文深入剖析了网络应用中的常见安全漏洞,包括XSS漏洞、不安全的反序列化、已知漏洞、日志记录和监控不足以及权限提升等问题。通过详细的技术分析与实际案例,介绍了漏洞的检测方法与应对策略,并结合工具使用技巧与未来安全趋势,为读者提供了全面的网络安全防护思路
渗透思路讲解,web渗透,wordpress漏洞渗透--渗透
网络专业 学习网安 参加几次信安 拿过二等奖 渗透略会,跨行学下拼多多运营
04-10 1316
Nmap -p 1-65535 172.16.1.4 //进行端口扫描1-65535的所有端口扫描、有时候用得到,因为前面的端口不开放,你可以进行后面的端口扫描。Dirb 172.16.1.4 /home/kali/Desktop/zidian.txt //用自定义的字典扫描端口。密码一般是弱口令,除非是ssh、ftp这种可以用hydra爆破的。
基于 WordPress 站点的渗透测试案例剖析
m0_57935885的博客
12-22 1896
若目标存在 AD 域环境,则需深入开展域渗透工作,对于无法出网的 PC,可通过设置代理使其连接外网,重复提权操作以获取更高权限,进而定位域控、数据库等关键服务器,扩大攻击面,获取更多有价值的数据和肉鸡。在整个渗透测试结束后,务必进行全面的日志清理工作,删除植入的木马后门程序,恢复被篡改的系统文件和配置,确保目标系统能够正常、安全地运行。核心及相关组件,对用户输入进行严格的过滤和验证,限制文件上传的类型和权限,定期进行安全审计和漏洞扫描,以有效防范类似的安全风险。,利用目录遍历的方式尝试突破文件下载限制。
AdmX_new打靶记录
wwd180的博客
06-16 213
实验主机:攻击机kali(192.168.109.131)靶机AdmX_new(192.168.109.134)实验目标:获取root权限 + 2 flag实验网络:NAT。
如何正确的进行网站入侵渗透测试,(非常详细)从零基础到精通,收藏这篇就够了!
最新发布
leah126的博客
06-03 556
可以直接用这个防注入系统拿到shell,在URL里面直接提交一句话,这样网站就把你的一句话也记录进数据库文件了 这个时候可以尝试寻找网站的配置文件 直接上菜刀链接。要检测一个站首先应先收集信息如whois信息、网站真实IP、旁注、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息有哪些等等。下载漏洞,在file=后面 尝试输入index.php下载他的首页文件 然后在首页文件里继续查找其他网站的配置文件 可以找出网站的数据库密码和数据库的地址。
干货 | Wordpress网站渗透方法指南
leah126的博客
05-03 3499
如果您遇到使用 WordPress网站,您会怎么做,渗透思路安全检测思路
WordPress站点的渗透过程
热门推荐
whatiwhere的博客
06-02 1万+
实验环境 操作机 :Kali 2017 操作机IP:172.16.11.2 目标机:Windows 7 目标机IP:172.16.12.2 实验目的 学习WordPress站点的渗透过程 掌握WordPress后台暴力破解方法 知晓弱密码对网站的危害 实验工具 WPscan:WordPress站点漏洞扫描探测工具,用于探测站点存在的漏洞情况,可检测插件的漏洞 WordBrute...
WordPress网站进行渗透测试 – 详解
zhalang8324的博客
01-13 5398
WordPress是一个专注于PHP和MySQL的免费在线开源内容托管系统。这是一个功能强大且使用最多的博客工具。 由于WordPress使用过程中出现了太多的错误,所以需要提高安全性。WordPress渗透测试对于发现漏洞并保护您的WordPress博客非常重要。 安全研究人员丹尼尔·西德说,在2016年,至少有15769个甚至更多的WordPress网站已经被入侵。 根据Su
对日本某Wordpress博客站的一次渗透测试
白帽渗透笔记的博客
08-26 852
阅读本文大概需要 2.3 分钟 今天,又是忙碌且充实的一天。 下班回到家的我,又在用 FOFA 扫网站,然后便扫到一个日本网友的博客站点。这界面风格,一看就是 Wordpress 了,网站底部也可以看到 Wordpress 的字样。 只有寥寥无几的博文,并且最近一条还是在 3 年前。 我浏览器装了 Wappalyzer 插件,插件显示了如下信息。 4.5.3 ?这是好久以前的版本了,看来博主确实很久没打理这个网站了。 不过看到这个版本号,我顿时来了精神了。因为我想起 Wordpress <= .
如何渗透测试WordPress网站
kuxing100的专栏
07-26 3316
原文:http://www.freebuf.com/articles/web/5264.html 前言 英语水平有限,许多地方翻译的不是很通顺,请各位海涵。初见该文章便对文章作者很是佩服,因为在文章中详细的讲述了每一个步骤,这对于初学者来说尤为难得。所以决定将该文章翻译出来,供大家借鉴学习。 正文 原文题目:How Hackers Target and Hack Your Site
【法律风险与安全】:Metasploit合法渗透测试应用指南
[【法律风险与安全】:Metasploit合法渗透测试应用指南](https://cdn.educba.com/academy/wp-content/uploads/2021/04/Metasploit-Framework.jpg) # 1. 法律风险与安全概述 ## 1.1 法律与安全的基本原则 在当今数字...
【网络安全】红队渗透项目之Stapler1(上)
2401_84208172的博客
05-28 743
由于本项目环境是nat模式需要项目IP地址,扫描挖掘本地的IP地址信息:image.png发现本kali ip为40段!image.png发现项目IP为152!image.pngimage.png以及smb2(windows445端口,共享用)利用!可以看到有很多容易受到攻击的端口都开着,FTP、NetBIOS、MySQL和运行Web服务器(Apache HTTPD)的端口12380等等!
WPCracker:WordPress 渗透测试工具
05-29
WP破解器 适用于 Windows 和 Linux 的 WordPress 用户枚举和登录 Brute Force 工具 使用“蛮力”工具,您可以控制要执行的攻击的攻击程度,这会影响所需的攻击时间。 该工具可以调整线程数量以及每次测试每个线程的密码批次大小。 但是,过多的攻击力会导致受害者的服务器变慢。 例如,当我攻击我的本地服务器时,当我使用程序预设的线程数(12)和批处理大小(1000)时,大约需要两天时间才能通过rockyou.txt(14,341,564个唯一密码) )。 在本文中,“受害者”是指 pentest 实验室中被攻击的 WordPress 站点。 攻击您无权访问的 WordPress 站点可能是非法的。 使用: 用户枚举 . \W PCracker.exe --enum -u < Url> -o < Output
wordpress-exploit-framework:一个旨在帮助WordPress系统进行渗透测试的Ruby框架
02-05
WordPress漏洞利用框架 一个旨在帮助WordPress系统进行渗透测试的Ruby框架。 安装 要安装最新的稳定版本,请运行gem install wpxf 。 安装后,您可以通过运行wpxf启动WordPress Exploit Framework控制台。 我需要运行什么? 要运行WordPress Exploit Framework,需要Ruby> = 2.4.4。 安装疑难解答 Debian系统 如果您在安装WPXF的依赖项时遇到问题(特别是Nokogiri),请首先确保您具有编译C扩展所需的所有工具: sudo apt-get install build-essentia
渗透wordpress过程
weixin_44205564的博客
10-16 2265
渗透wordpress过程
wordpress渗透思路
Luce1234567890的博客
02-08 2697
WordPress是一个专注于PHP和MySQL的免费在线开源内容托管系统。这是一个功能强大且使用最多的博客工具。信息收集:后台地址:/wp-admin/ 访问后自动跳转置 后台登录界面用户名收集 :/?author=1 依次访问/author=1 ,2,3,4,5 …. 直到结束使用WpScanWPScan 是一个针对WordPress CMS 的安全扫描软件,在kali中自带了wpscan列举...
记录一次wordpress的渗透思路
qq_61611948的博客
12-01 268
wpscan --url http://192.168.10.140/wordpress -e u 用户名的枚举 发现michael steven 但不是后台管理员的密码。找到许多的用户 进行筛选 打开linux 或者kali /etc/passwd 对比 发现像bin用户后面有nologin的字样----不能登陆舍去。nmap 192.168.10.140 -v --script=brute -p22 指定22进行暴力破解 发现很多用户的枚举信息。
wordpress靶机渗透
badminton_0的博客
08-06 1116
访问靶机网页,是一个wordpress站点 使用awvs扫描发现弱口令密码 Dirb扫描网站目录phpmyadmin,wp-login.php 登陆admin,发现 flag1 在此网站目录下找到flag2 wpscan扫描用户,写入user.txt cewl生成字典 wpscan爆破 获得密码 使用wordpress 登录 得到flag4 flag3 登陆后台修改404页面写入脚本 蚁剑...
Kali linux 渗透测试技术之搭建WordPress Turnkey Linux及检测WordPress 应用程序漏洞
freeking101的博客
06-30 5385
From:https://bbs.ichunqiu.com/thread-15716-1-1.html 怎样用 WPScan,Nmap 和 Nikto 扫描和检查一个 WordPress 站点的安全性:https://www.cnblogs.com/chayidiansec/p/7989274.html 为了收集用于测试的应用程序, Turnkey Linux是一个非常好的资源。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Eglike

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值