• 歡迎訪問奇跡の海網站,本站不上傳任何資源,所有資源均來自于網絡,歡迎加入奇跡の海~!奇跡の海-WordPress QQ群
  • 本站下載資源為網絡上收集整理而來,并且以計算機技術研究交流為目的,版權歸原作者所有,僅供大家參考,學習,不存在任何商業目的與商業用途.
  • 本站系統鏡像均來自于官方原版,ed2k可視為P2P下載鏈接。所有操作系統默認均為試用版,如有正版密鑰可以有效激活,本站不提供任何激活和相關服務。

利用xmlrpc.php對WordPress進行暴力破解攻擊

WP其他 奇跡の海 2年前 (2017-06-02) 501次瀏覽 已收錄 0個評論 掃描二維碼

近幾天wordpress社區的小伙伴們反映遭到了利用xmlrpc.php進行暴力破解的攻擊。利用xmlrpc.php提供的接口嘗試猜解用戶的密碼,可以繞過wordpress對暴力破解的限制。已經發現了大規模的利用,啟用了xmlrpc的同學需要盡快修復。安裝或者升級Login Security Solutin插件

通常wordpress登錄接口都是做了防暴力破解防護的,比如freebuf的登錄只能有嘗試5次。

這種利用xmlrpc.php的攻擊可以繞過這些限制。攻擊的方式直接POST以下數據到xmlrpc.php.
<span class="pun"><?</span><span class="pln">xml?version</span><span class="pun">=</span><span class="str">"1.0"</span><span class="pln">?encoding</span><span class="pun">=</span><span class="str">"iso-8859-1"</span><span class="pun">?></span>
<span class="pun"><</span><span class="pln">methodCall</span><span class="pun">></span><span class="pln">
??</span><span class="pun"><</span><span class="pln">methodName</span><span class="pun">></span><span class="pln">wp</span><span class="pun">.</span><span class="pln">getUsersBlogs</span><span class="pun"></</span><span class="pln">methodName</span><span class="pun">></span><span class="pln">
??</span><span class="pun"><</span><span class="pln">params</span><span class="pun">></span><span class="pln">
???</span><span class="pun"><</span><span class="pln">param</span><span class="pun">><</span><span class="pln">value</span><span class="pun">></span><span class="pln">username</span><span class="pun"></</span><span class="pln">value</span><span class="pun">></</span><span class="pln">param</span><span class="pun">></span><span class="pln">
???</span><span class="pun"><</span><span class="pln">param</span><span class="pun">><</span><span class="pln">value</span><span class="pun">></span><span class="pln">password</span><span class="pun"></</span><span class="pln">value</span><span class="pun">></</span><span class="pln">param</span><span class="pun">></span><span class="pln">
??</span><span class="pun"></</span><span class="pln">params</span><span class="pun">></span>
<span class="pun"></</span><span class="pln">methodCall</span><span class="pun">></span>

其中username字段是預先收集的用戶名。password是嘗試的密碼。關于getUsersBlogs接口的更多信息可以參考官方的指南。如果密碼正確,返回為:

密碼錯誤返回為403:

使用intruder進行測試,發現服務端沒有進行限制。


版權聲明:本站所有文章和資源使用CC BY-NC-SA 4.0協議授權發布 , 轉載應當以相同方式注明文章來自“SeaOMC.COM->利用xmlrpc.php對WordPress進行暴力破解攻擊!在下邊可以分享本文哦!
喜歡 (0)
[]
分享 (0)
奇跡の海
關于作者:
一個WordPress菜鳥!
發表我的評論
取消評論

表情 貼圖 加粗 刪除線 居中 斜體 簽到

Hi,您需要填寫昵稱和郵箱!

  • 昵稱 (必填)
  • 郵箱 (必填)
  • 網址
中国福利彩票36选7开奖结果