WPrecon-Wordpress漏洞识别工具

WPrecon-WordPress漏洞识别工具WordPress Recon

Wprecon(Wordpress Recon)是Wordpress CMS中的漏洞识别工具

特色

状态特征
随机代理
检测WAF
用户枚举器
插件扫描器
主题扫描仪
使用Tor 代理
检测蜜罐
模糊测试备份文件
模糊测试密码
漏洞扫描器

用法

命令描述
-u,–url字符串目标网址(例如:http(s)://example.com/ )。(必要)
–users-enumerate使用提供的模式枚举用户
–themes-enumerate使用提供的模式枚举主题。
–plugins-enumerate使用提供的模式枚举插件。
–detection-waf我将尝试检测目标正在使用的WAF
–detection-honeypot我将基于shodan尝试检测目标是否为蜜罐
–no-check-wp将跳过对目标的wordpress检查。
–random-agent使用随机选择的HTTP(S)用户代理标头值。
–tor使用Tor匿名网络。
–disable-tls-checks禁用SSL / TLS证书验证。
-h,–helpwprecon帮助信息
-v,–verbose详细模式。

安装方法

需要先安装golang编译器。
https://golang.org/dl/

go get github.com/blackcrw/wprecon
#或
mkdir ~/Go/src/github.com/blackcrw/wprecon
cd ~/Go/src/github.com/blackcrw
git clone https://github.com/blackcrw/wprecon
go get wprecon

使用以下命令进行编译

go build ~/Go/src/blackcrw/github.com/blackcrw/wprecon

运行示例

wprecon --url "https://www.xxxxxxx.com/" --detection-waf

输出结果示例

___       ______________________________________________   __
__ |     / /__  __ \__  __ \__  ____/_  ____/_  __ \__  | / /
__ | /| / /__  /_/ /_  /_/ /_  __/  _  /    _  / / /_   |/ /
__ |/ |/ / _  ____/_  _, _/_  /___  / /___  / /_/ /_  /|  /
____/|__/  /_/     /_/ |_| /_____/  \____/  \____/ /_/ |_/

Github: https://github.com/blackcrw/wprecon
Version: 0.0.1a
—————————————————————————————————————————————————————————————————————
[•] Target: https://www.xxxxxxx.com/
[•] Starting: 09/jan/2020 12:11:17

[•] Listing enable: https://www.xxxxxxx.com/wp-content/plugins/
[•] Listing enable: https://www.xxxxxxx.com/wp-content/themes/
[•••] Status Code: 200 — URL: https://www.xxxxxxx.com/wp-admin/
[•••] I'm not absolutely sure that this target is using wordpress! 37.50% chance. do you wish to continue ? [Y/n]: Y
[•••] Status Code: 200 — WAF: Wordfence Security Detected
[•••] Do you wish to continue ?! [Y/n] : Y

下载地址:

①GitHub: github.com/blackcrw/wprecon
②雨苁网盘: w.ddosi.workers.dev/github

WPrecon-Wordpress漏洞识别工具