wordpress总结攻略

获取后台的用户名:

1.在网站的域名后面加 /?author=1,如果 /?author=1 显示404界面,那很可能是以前有过 admin 用户,后来站长发现用默认帐户 admin 太不安全了,就新建了一个管理员帐户,并删除了 admin 帐户。这种情况下,用 /?author=2 就能显示出用户名了。

2.wpscan扫描(推荐这个)

爆破测试:

能否利用XMLRPC漏洞:在wordpress主站地址后追加:/xmlrpc.php,如果出现XML-RPC server accepts POST requests only. 类的内容,那么就是可以利用的,那么就可以利用wpscan进行密码爆破.

wpscan就是这个原理.

总结:用户名很好弄,密码完全看人品和字典,这些不行看插件漏洞,wpscan扫插件,wappalyzer也可以扫一扫。

为您推荐

发表评论

电子邮件地址不会被公开。 必填项已用*标注