安基网 首页 安全 攻防案例 查看内容

“别人”是如何登录你的wordpress站点的?

2019-11-7 10:45| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 信息收集1、利用nmap -A IP 进行扫描可以看到目标服务器开启的端口以及服务2、利用DirBuster进行目录扫描可以看到站点内目录结构3、利用enum4linux进行扫描可以看到共享文件夹4、通过访问站点内页面收集信息可能用户名togie可能用户名admin爆破尝试1、通过DirBuster扫描发现目标站点采用wordpress和php ...

信息收集

1、利用nmap -A IP 进行扫描

可以看到目标服务器开启的端口以及服务

2、利用DirBuster进行目录扫描

可以看到站点内目录结构

3、利用enum4linux进行扫描

可以看到共享文件夹

4、通过访问站点内页面收集信息

可能用户名togie

可能用户名admin

爆破尝试

1、通过DirBuster扫描发现目标站点采用wordpress和phpmyadmin

2、利用脚本对站点进行爆破尝试

漏洞扫描及利用

1、利用maf进行IRC漏洞尝试

未成功

2、利用wpscan进行漏洞发现

发现可访问上传文件目录和使用主题

登录成功

方式一:利用enum4linux中的共享路径,直接访问共享文件,在内部发现wordpress账号密码,服务器密码

服务器密码

wordpress账号密码

方式二:可利用上传任意文件进行挂马拿到shell

方式三:可进行wordpress管理页面进行挂马

方式。。。。。。

结语

提高安全意识,保护数据安全



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6756386394349765128/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人
1

路过

鸡蛋

刚表态过的朋友 (1 人)

相关阅读

最新评论

 最新
返回顶部