Skip to content

WordPress brute force on java

WordPress – моя улюблена CMS!

І тим не менше, мені подобається її випробовувати на міцність 🙂

Цього разу я вирішив її брут-форсити.

wpbf
WordPress brute force

Для тих, хто не вкурсі, що це таке – то нагадаю.
Brute force – це метод грубої сили, а в даному випадку – це прямий перебір паролів (як варіант, перебір паролів “по словнику”).

Отже, трохи сухої теорії.

Адмінка вордпреса, майже завжди, знаходиться wordpress_site/wp-admin, а якщо бути точним, то авторизація проходить у файлі wordpress_site/wp-login.php.

Там знаходиться звичайна формочка, зі звичайними інпутами 🙂
За замовчуванням, створюється юзер admin (id=1), до якого ми і будемо “стукати”. Доречі, наявність цього юзера потрібно уточнювати.
Відправляти пароль будемо методом POST.
Якщо пароль не вірний, то вилізе блок з помилкою. На неї ми і будемо реагувати.

А тепер, власне, приклад коду.
Файл конфігів bfwp.cnf

Сам клас брутфорсера Bfwp.java

Для генерації послідовності паролів, я використовую клас alphanumeric.java, про який я вже писав у статті про Генерацію послідовностей паролів.

Здається все 🙂

Також хочу відмітити той момент, що даний код – наведений лише для ознайомлення і створений у навчальних цілях! Автор цього коду, не бажає використовувати його з протизаконною метою.

Скачати приклад коду для брутфорсу wordpress можна тут: bfwp.zip

Всі коментарі і зауваження вислухаю в коментарях 🙂

5 Comments

  1. Хотілося б якоїсь статистики швидкості, красиві графіки, etc. Цікаво за скільки часу воно змогло б підібрати і чи взагалі змогло б.

    Щодо коду:
    Не зрозуміло чому шлях до результуючого файлу дублюється в коді і конфігу. Не помішали б коменти хоча б до функцій. І ще стандартів назв не дотримуємось 😉

    Ваш капітан:
    Більшість людей відразу ставлять всякі плагіни які обмежують кількість спроб, тому цей спосіб буде малодієвий.
    Також в інтернеті легко знаходиться словник паролів по якому краще спочатку пройтись перед брутфорсом.

    • ByOne, Звичайно можна реалізувати графіки і статистику. Але це вже потрібно буде для реального брутера, а це лише навчальний. Я не бажаю розповсюджувати хакерський софт. Справжні хацкери софт пишуть самостійно, а не юзають чужий)
      Щодо дублювання результуючого файлу – сорі, затупив 🙂
      Використання словника звичайно є на багато продуктивнішим, але в даному випадку я хотів показати лише алгоритм. Думаю кожен себ поважаючий девелопер зможе без проблем переписати брутер під себе.

  2. Нормальний брутфорсер, я б йому ще добавив роботу через проксі і зміну просі на льоту))) Це можна на java легко реалізувати)))) Пробував на реальних сайтах? Відколи ти прейшов з сайтобудування в хакінг?

    • Василь, цілком погоджуюсь із зауваженнями.
      А на хакінг я не переходив – я лише час від часу підтримую себе у формі 😉

  3. Коли читаєш конфіг, можеш замість регекспів зробити так:

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *