WPForce


Описание WPForce

WPForce — это набор инструментов для атаки WordPress. В настоящее время он содержит 2 скрипта — WPForce, который брут-форсит (подбирает пароль от входа) через API, и Yertle, который, как только подобраны администраторские учётные данные, выгружает шеллы. Yertle также содержит ряд модулей последующей эксплуатации.

Функции:

  • Брут-форс через API, не через форму входа — это позволяет обойти некоторые виды защит
  • Может автоматически выгрузить интерактивный шелл
  • Может использоваться для вызова полнофункционального обратного шелла
  • Дампит (сбрасывает) хеши паролей WordPress
  • Может бэкдорить функцию аутентификации для сбора паролей в виде открытого текста
  • Внедряет крюк BeEF во все страницы
  • Если надо, работает с meterpreter

Домашняя страница: https://github.com/n00py/WPForce

Автор: n00py

Лицензия: ?

Справка по WPForce

WPForce — это инструмент для брут-форса WordPress используя WordPress API.

использование: 

wpforce.py [-h] -i INPUT -w WORDLIST -u URL [-v] [-t THREADS]
                  [-a AGENT] [-d]
опциональные аргументы:
  -h, --help            показать справку и выйти
  -i ВВОД, --input ВВОД
                        Файл с именами пользователей
  -w СЛОВАРЬ, --wordlist СЛОВАРЬ
                        Файл с паролями
  -u URL, --url URL     URL цели
  -v, --verbose         Вербальный вывод. Показывать все попытки.
  -t ПОТОКИ, --threads ПОТОКИ
                        Определяет количество используемых потоков, 
                        по умолчанию это 10
  -a АГЕНТ, --agent АГЕНТ
                        Устанавливает user-agent
  -d, --debug           Эта опция используется для выявления проблем
                        со скриптом.

Yertle — это модуль последующей эксплуатации для WordPress

использование: 

yertle.py [-h] [-i] [-r] -t TARGET [-u USERNAME] [-p PASSWORD]
                 [-a AGENT] [-li IP] [-lp PORT] [-v] [-e EXISTING]
опциональные аргументы:
  -h, --help            показать справку и выйти
  -i, --interactive     Интерактивный командный шелл
  -r, --reverse         Обратный шелл
  -t ЦЕЛЬ, --target ЦЕЛЬ
                        URL цели
  -u ИМЯ_ПОЛЬЗОВАТЕЛЯ, --username ИМЯ_ПОЛЬЗОВАТЕЛЯ
                        Имя пользователя админа
  -p ПАРОЛЬ, --password ПАРОЛЬ
                        Пароль админа
  -a АГЕНТ, --agent АГЕНТ
                        Пользовательский User Agent
  -li IP, --ip IP       IP прослушивателя
  -lp ПОРТ, --port ПОРТ
                        Порт прослушивателя
  -v, --verbose         Вербальный вывод.
  -e EXISTING, --existing EXISTING
                        Пропустить выгрузку шелла, и подключиться к
                        существующему шеллу

Руководство по WPForce

Страница man отсутствует.



В BlackArch скрипт Yertle вызывается командой wpforce-yertle.

Yertle в настоящее время содержит следующие модули:

Основные команды
=============
 
Команда                   Описание
-------                   -----------
?                         Справка
beef                      Внедрить BeEF крюк в веб-сайт
dbcreds                   Печатает учётные данные базы данных
exit                      Завершение сеанса
hashdump                  Сдампить все хеши паролей WordPress
help                      Справка
keylogger                 Патчит ядро WordPress для записи учётных данных в открытом виде
keylog                    Показывает файл с захваченными паролями
meterpreter               Выполняет PHP meterpreter stager для подключения metasploit
quit                      Завершение сеанса
shell                     Отправляет обратный TCP шелл на прослушивальщик netcat
stealth                   Прячет Yertle со страницы плагинов

Примеры запуска WPForce

Брут-форс сайта (-u "http://www.[website].com"), используя имена пользователей из файла (-i usr.txt) и пароли из файла (-w pass.txt):

python2 wpforce.py -i usr.txt -w pass.txt -u "http://www.[website].com"

Установка WPForce

Установка в Kali Linux

sudo pip2 install requests argparse urljoin
git clone https://github.com/n00py/WPForce.git
cd WPForce/
python2 wpforce.py -h
python2 yertle.py -h

Установка в BlackArch

Программа предустановлена в BlackArch.

sudo pacman -S wpforce --force
sudo pip2 install requests

Информация об установке в другие операционные системы будет добавлена позже.

Скриншоты WPForce

Инструкции по WPForce


Близкие программы:

  • WPSploit (64.3%)
  • sqlmap (54.5%)
  • Maltego (51.8%)
  • Metasploit (51.8%)
  • PoisonTap (48.4%)
  • truffleHog (RANDOM - 9.1%)
  • Рекомендуется Вам:

    Comments are Closed