快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

一款针对WordPress网站的渗透排泄测试框架

今天给人人先容的是一款名鸣Wordpress Exploit Framework的Ruby框架,研究人员可行使该框架来研发或使用其自带某开来对由WordPress驱动的网站或体系进行渗透排泄测试

1.png

工具运行前提

确保你的设备装置了Ruby(版本>=2.4.3),然后切换到WPXF文件夹,并在终端中运行如下命令实现依靠组件的装置:

bundle install

要是你的设备没有装置bundler,你还需要运行如下命令进行装置:

gem install bundler

装置问题

Debian体系

要是你在装置WPXF依靠组件时遇到了问题,起首需要确保你装置好了编译.c文件的所有工具:

sudo apt-get install build-essential patch

除此之外,极可能你的设备中没有装置症结的开发头文件,你可以使用如下命令进行装置:

sudo apt-get install ruby-dev zlib1g-dev liblzma-dev

Windows体系

要是你遇到了问题,很多是因为libcurl.dll没有加载成功,你需要确保Ruby bin文件夹中包含了最新版的libcurl库,或者在PATH环境变量中指定代码库的路径。

最新版本libcurl库:【点我下载

下载成功后,将代码库文件提取到Ruby bin目录中,网络黑客,注意不要笼盖任何现有的DLL文件。

怎么样使用?

关上终端并切换到项目目录,使用如下命令运行框架:

ruby wpxf.rb

框架加载成功后,你将会看到wpxf的终端窗口,你可以使用search命令搜索模块或使用use命令加载模块。

加载模块后,你可以使用set命令来配置模块选项,或使用info命令查看模块信息。

鄙人面的例子中,我们加载了symposium_shell_upload漏洞行使模块,并针对目标特征对模块以及Payload选项进行了配置,然后运行模块。

2.png

人人可以从【这里】查看该框架所有支持的命令。

可用的Payload

1.   bind_php:上传一个脚本,并跟特定端口绑定,WPXF将确立一个遥程shell连接。

2.   custom:上传并执行自定义PHP脚本。

3.   download_exec:下载并运行一个遥程可执行文件。

4.   meterpreter_bind_tcp:使用msfvenom生成一个绑定TCP Payload的Meterpreter模块。

5.   meterpreter_reverse_tcp:使用msfvenom生成一个绑定了反向TCP Payload的Meterpreter模块。

6.   Exec:在遥程服务器中运行一个shell命令,返归WPXF会话的输出效果。

7.   reverse_tcp:上传一个能够确立反向TCP Shell的脚本。

怎么样开发本人的模块以及Payload

关于怎么样编写模块以及Payload,请人人参考【这份文档】,完备的API开发文档可以从【这里】找到。

* 参考来源:kitploit,Alpha_pck编译,

您可能还会对下面的文章感兴趣: