Aprende cómo hacer pentesting de fuerza bruta de un sitio web basado en WordPress con WPForce, una herramienta automática de fuerza bruta para encontrar usuario y contraseña de administrador.
Hay muchas herramientas de seguridad de WordPress, como WPScan, escáner de vulnerabilidades. Ahora, hay una adición: WPForce, que considero es una herramienta más ofensiva que realiza intentos de fuerza bruta contra una instalación específica de WordPress.
1. ¿Qué es WPForce?
WPForce es un conjunto de herramientas para ataques de WordPress de código abierto y múltiples hilos, que inicia sesión de fuerza bruta a través de la API XML-RPC, y Yertle, que carga shells una vez que se han encontrado las credenciales de administrador. WordPress tiene su implementación personalizada de la API XML-RPC que le permite publicar contenido en tu blog. Esta funcionalidad está habilitada por defecto desde WordPress 3.5!
1.1. Funciones de WPForce
- Fuerza bruta a través de la API XML-RPC, evitando algunas formas de protección.
- Puede cargar automáticamente un shell interactivo.
- Puede ser usado para generar un shell invertido completo.
- Descarga los hashes de contraseñas de WordPress.
WPForce es un conjunto de herramientas para ataques a WP. Actualmente contiene 2 scripts: WPForce, que fuerza los inicios de sesión a través de la API, y Yertle, que carga shells una vez que se han encontrado las credenciales de administrador. Yertle también contiene una serie de módulos posteriores a la explotación.
2. Descarga y preparación de WPForce
En este tutorial aprendemos cómo hacer un ataque de diccionario en cualquier sitio web de WordPress para obtener las credenciales de sus usuarios.
- Descarga WPForce desde github
git clone https://github.com/n00py/WPForce.git
- Ejecutar WPForce
cd WPForce
chmod +x wpforce.py
python wpforce.py -i [nombre_archivo_usuarios].txt -w [nombre_archivo_contraseñas].txt -u [URL_Sitio_Web]
3. Uso de WPForce
- Para demostrar el uso de WPForce voy a considerar un sitio web de prueba. Las credenciales son: alexynior (Usuario) y esgeeks (contraseña).
- He utilizado mi propio diccionario de fuerza bruta para usuario y contraseña. Si quieres crear tu propio diccionario, te recomiendo leer este post.
- Finalmente con el uso de la herramienta, he podido “comprometer” el sitio web de ejemplo y conocer el usuario y la contraseña. (Ver vídeo al final de la publicación para mayor entendimiento).
Para una mejor comprensión, consulte el video tutorial paso a paso. Sin embargo, puede leer más sobre el autor de la herramienta en este enlace.