利用xmlrpc.php對WordPress進行暴力破解攻擊
責(zé)編:admin |2014-07-24 12:45:39近幾天wordpress社區(qū)的小伙伴們反映遭到了利用xmlrpc.php進行暴力破解的攻擊。利用xmlrpc.php提供的接口嘗試猜解用戶的密碼,可以繞過wordpress對暴力破解的限制。已經(jīng)發(fā)現(xiàn)了大規(guī)模的利用,啟用了xmlrpc的同學(xué)需要盡快修復(fù)。安裝或者升級Login Security Solutin插件
通常wordpress登錄接口都是做了防暴力破解防護的,比如freebuf的登錄只能有嘗試5次。
這種利用xmlrpc.php的攻擊可以繞過這些限制。攻擊的方式直接POST以下數(shù)據(jù)到xmlrpc.php.
<?xml version="1.0" encoding="iso-8859-1"?>
其中username字段是預(yù)先收集的用戶名。password是嘗試的密碼。關(guān)于getUsersBlogs接口的更多信息可以參考官方的指南。如果密碼正確,返回為:
密碼錯誤返回為403:
使用intruder進行測試,發(fā)現(xiàn)服務(wù)端沒有進行限制。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧