今天給大家介紹的是一款名叫Wordpress Exploit Framework的Ruby框架,研究人員可利用該框架來研發或使用其自帶某開來對由WordPress驅動的網站或系統進行滲透測試。
工具運行條件確保你的設備安裝了Ruby(版本>=2.4.3),然後切換到WPXF文件夾,並在終端中運行下列命令完成依賴組件的安裝:
如果你的設備沒有安裝bundler,你還需要運行下列命令進行安裝:
安裝問題Debian系統如果你在安裝WPXF依賴組件時遇到了問題,首先需要確保你安裝好了編譯.c文件的所有工具:
除此之外,很可能你的設備中沒有安裝關鍵的開發頭文件,你可以使用下列命令進行安裝:
Windows系統如果你遇到了問題,很可能是因為libcurl.dll沒有加載成功,你需要確保Ruby bin文件夾中包含了最新版的libcurl庫,或者在PATH環境變量中指定代碼庫的路徑。
下載成功後,將代碼庫文件提取到Ruby bin目錄中,注意不要覆蓋任何現有的DLL文件。
如何使用?打開終端並切換到項目目錄,使用下列命令運行框架:
框架加載成功後,你將會看到wpxf的終端窗口,你可以使用search命令搜索模塊或使用use命令加載模塊。
加載模塊後,你可以使用set命令來設置模塊選項,或使用info命令查看模塊信息。
在下面的例子中,我們加載了symposium_shell_upload漏洞利用模塊,並針對目標特徵對模塊和Payload選項進行了設置,然後運行模塊。
可用的Payload1. bind_php:上傳一個腳本,並跟特定埠綁定,WPXF將建立一個遠程shell連接。
2. custom:上傳並執行自定義PHP腳本。
3. download_exec:下載並運行一個遠程可執行文件。
4. meterpreter_bind_tcp:使用msfvenom生成一個綁定TCP Payload的Meterpreter模塊。
5. meterpreter_reverse_tcp:使用msfvenom生成一個綁定了反向TCP Payload的Meterpreter模塊。
6. Exec:在遠程伺服器中運行一個shell命令,返回WPXF會話的輸出結果。
7. reverse_tcp:上傳一個能夠建立反向TCP Shell的腳本。
如何開發自己的模塊和Payload關於如何編寫模塊和Payload,請大家參考【這份文檔】,完整的API開發文檔可以從【這裡】找到。
* 參考來源:kitploit,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM