WordPress XML-RPC BruteForce

341

“Розумний” підбір админок на WordPress.

Brute Force Amplification Атаки через WordPress XML-RPC

WordPress, Drupal і більшість систем управління контентом підтримують XML-RPC. Одна з прихованих особливостей XML-RPC є те, що ви можете використовувати метод system.multicall для виконання декількох методів всередині одного запиту. Це дуже корисно, оскільки це дозволяє додатком передавати декілька команд в одному запиті HTTP.

Загалом, не буду углубл**ься в технічні подробиці, ось що вам потрібно знати про софт:

  • Не потрібні проксі, т. к. це не тупий підбір через wp-login.php де ip може бути легко заблокований після кількох невдалих спроб входу.
  • Не вимагається лист з логінами, т. к. брут визначає логін адміна сам.
  • Вам потрібно лише вказати список сайтів на CMS WordPress і лист паролів.

    В архіві 2 версії, під x32 і x64 бітні системи, а так само листи з паролями в якості бонусу.

    Завантажити