• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

wpscan

M

Magnit

wpscan --enumerate u --enumerate at --enumerate ap -u
эта строчка не положит реальный сайт?
Просто при прохождении CTF с помощью такой команды получал Логины и Пароли
 

Night Hunter

Green Team
13.01.2018
284
284
BIT
0
Это что за CTF? Я не думаю, что этой командой, можно получить пароли, только через брут. Интересно, что делает ap
 

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 318
3 997
BIT
1
Этой строчкой пароли не получить,т.к. нет указаний на файл с пользователями и управлением количеством потоков.(т.е. команда требует вставок опций)
Атаки на пароли в этом инструменте в основном осуществляются методом брутфорса.
Например
Код:
./wpscan.rb --url www.назв_ресурса --wordlist file.lst --threads 50
Либо атаковать конкретного известного пользователя
Код:
./wpscan.rb --url www.назв_ресурса --wordlist file.lst --username имя_пользователя
Опция ap - это использовать все плагины и с такой опцией задача становится очень долговременной.
Она часто в командах заменяется на vp- только уязвимые плагины.
В команде перечислить всё возможное тогда удобнее использовать такой вид:
Код:
./wpscan.rb -u http://IP_цели/wordpress/ -e at -e ap -e u
Насчёт того ,возможно ли положить сайт такой командой - не в курсе.
 
M

Magnit

Этой строчкой пароли не получить,т.к. нет указаний на файл с пользователями и управлением количеством потоков.(т.е. команда требует вставок опций)
Атаки на пароли в этом инструменте в основном осуществляются методом брутфорса.
Например
Я начинающий, но именно этой командой получал данные для входа на страницу администрирования.
Может там CTF так была криво настроена или что-то другое хз, просто делал эту CTF 3 мес назад, но вот саму команду выписал, т.к. понравилась)
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!