WPForce - Wordpress Brute Force Attack Suite

WPForce dalah salah satu tools Serangan WordPress. Saat ini, ini berisi 2 script - WPForce, yang memaksa login melalui API, dan Yertle, yang mengunggah shell setelah kredensial admin ditemukan. Yertle juga berisi sejumlah modul pasca-eksploitasi.

Features

• Can automatically upload an interactive shell
• Can be used to spawn a full-featured reverse shell
• Dumps WordPress password hashes
• Can backdoor authentication function for plaintext password collection
• Inject BeEF hook into all pages
• Pivot to meterpreter if needed
• Brute Force via API, not login form bypassing some forms of protection

Installation WPForce Tool

Untuk mendapatkan tool tersebut anda harus melakukan cloning repository berikut

git clone https://github.com/n00py/WPForce

Running WPForce Tool

Untuk menjalankannya anda bisa menginstall python terlebih dahulu, di terminal anda karena script ini di tulis menggunakan program python

Jalankan perintah berikut

python wpforce.py

*Usage

Sebelum menjalankan tool tersebut kalian wajib mempunyai wordlist untuk melakukan brute force terhadap target

python wpforce.py -i worlistuser.txt -w wordlistpass.txt -u http://target.com

Jika berhasil seperti gambar di atas, pastikan target kalian memiliki fitur xmlrpc.php, disini kalian bisa memainkan dork kalian lalu tunggu hinggal username dan password cocok

Running And Upload Shell 

Jika kita sudah menemukan username atau password target tersebut, kalian bisa langsung upload shell dengan menjalankan perintah seperti berikut

python yertle.py -u username -p password -u http://target.com

Bagikan Artikel ini