Plecost


Описание Plecost

Plecost предназначен для дактилоскопии уязвимостей и поиска уязвимостей в блогах под управлением WordPress.

По всему миру огромное количество сайтов на WordPress. Большинство из них открыты для атак. В случае успешных атак они могут быть превращены в распространителей вирусов, вредоносных программ или нелегального порно. При этом владелец блога может даже не догадываться об этом.

Данные проект в целях помощи системным администраторам и владельцам блогов сделать их WordPress чуть безопаснее.

Домашняя страница: https://github.com/iniqua/plecost

Справка по Plecost

Использование:

plecost [-h] [-v] [-o ФАЙЛ_ВЫВОДА] [-np] [-nc] [-nv] [-f] [-j] [-w СЛОВАРЬ] [-l] [-c ОДНОВРЕМЕННО] [-nb] [--update-cve] [--update-plugins] [--update-all] [-sp] [-vp SHOW_PLUGIN_CVES] [--cve CVE_DETAILS] [ЦЕЛЬ [ЦЕЛЬ …]]

 
позиционные аргументы:
  ЦЕЛЬ

optional arguments:
  -h, --help            показать это сообщение справки и выйти
  -v, --verbosity       уровень вербальности: -v, -vv, -vvv.
  -o ФАЙЛ_ВЫВОДА        файл отчёта с расширением: xml|json

scanner options:
  -np, --no-plugins     не пытаться найти версию плагина
  -nc, --no-check-wordpress
                        не проверять подключение к WordPress
  -nv, --no-wordpress-version
                        не проверять версию WordPress 
  -f, --force-scan      принудительно сканировать, даже если определено, что это не WordPress
  -j, --jackass-modes   режим jackass: неограниченные подключения к удалённому хосту

опции словаря:
  -w СЛОВАРЬ, --wordlist СЛОВАРЬ
                        установить пользовательский список слов. По умолчанию 200 самых распространённых
  -l, --list-wordlist   показать список доступных списков слов

продвинутые опции:
  -c ОДНОВРЕМЕННО, --concurrency ОДНОВРЕМЕННО
                        число параллельных процессов.
  -nb                   не показывать баннер

опции обновления:
  --update-cve          Обновить базу данных CVE.
  --update-plugins      Обновить плагины.
  --update-all          Обновить CVE, плагины и ядро.

поиск по базе данных:
  -sp, --show-plugins   показать все плагины в базе данных
  -vp SHOW_PLUGIN_CVES, --plugin-cves SHOW_PLUGIN_CVES
                        показать CVE для плагина
  --cve CVE_DETAILS     показать подробности о CVE

Руководство по Plecost
Страница man отсутствует.

Примеры запуска Plecost

Сканировать цель используя 50 самых распространённых плагинов:

plecost TARGET

Обновить список плагинов:

plecost --update-plugins

Обновить базу данных уязвимостей:


plecost --update-cve

Показать список доступных списков слов:


plecost -l

Использовать встроенный список слов с 1000 самыми распространёнными записями:

plecost -w plugin_list_1000.txt TARGET

или:

plecost -w plugin_list_1000 TARGET

Сканировать с использованием 10 одновременных соединений:

plecost -w plugin_list_1000.txt --concurrency 10 TARGET

Сканировать с вербальным режимом и сгенерировать отчёт в xml:

plecost -w plugin_list_1000.txt --concurrency 10 -o report.xml TARGET

Сканировать с вербальным режимом и сгенерировать отчёт в json:

plecost -vvv --concurrency 10 -o report.json TARGET

Не показывать баннер и только протестировать связь с wordpress, без тестирования плагинов или wordpress:

plecost -v -np -nc -nv TARGET

Поиск по локальной базе данных — показать плагины связанные с уязвимостями:

plecost --show-plugins

Установка Plecost

Установка Plecost в Kali Linux

Программа предустановлена в Kali Linux. Но на момент написания, установлена старая бесполезная версия.

Установка новой версии Plecost в любой Linux

sudo apt-get install python3-pip python3-dev python3-wheel
sudo python3 -m pip install plecost

Скриншоты Plecost

running

scan_example1

scan_example2

scan_example3

scan_example4

scan_example5

scan_example6

scan_example7

Инструкции по Plecost


Близкие программы:

  • WPScan (100%)
  • wig (91%)
  • WPForce (88.3%)
  • Xmlrpc brute (79.8%)
  • droopescan (79.8%)
  • NMBscan (RANDOM - 2.7%)
  • Рекомендуется Вам:

    Comments are Closed