Ein Brute-Force-Angriff ist ein “Versuch-und-Irrtum”-Ansatz. Es gibt eine Liste von Passwörtern mit hoher Wahrscheinlichkeit, und Sie probieren jedes einzelne aus.
Diese Art von Technik wird beim Hacken verwendet, wird aber auch beim Penetrationstest verwendet. Mit anderen Worten, es wird verwendet, um die Sicherheit Ihrer eigenen Site zu überprüfen.
Daher ist es in Ordnung, es zur Überprüfung der Sicherheit Ihrer eigenen Site zu verwenden, aber die Verwendung auf anderen Sites kann rechtliche Probleme haben, also tun Sie das absolut nicht.
Diesmal werden wir versuchen, es zur Identifizierung von Passwörtern auf WordPress-Sites zu verwenden.
Identifizierung von Benutzernamen
Zuerst müssen Sie Benutzernamen identifizieren. Dies ist jedoch sehr einfach.
wpscan -u sorerori.com —enumerate u
Mit nur diesem Befehl werden Benutzernamen in einer Liste ausgegeben.
Identifizierung von Passwörtern
Sobald Sie den Benutzernamen kennen, identifizieren Sie das Passwort, das eine Hash-Beziehung damit hat. Hier kommen Brute-Force-Angriffe ins Spiel.
wpscan -u sorerori.com —username hoge —wordlist ~/dev.txt
Wenn Sie eine Weile warten, nachdem Sie diesen Befehl ausgeführt haben, wird das Passwort zurückgegeben, wenn es eines gibt, oder leer, wenn nicht.
■ Brute-Force-Angriffe belasten den Server. Vermeiden Sie es, dies übermäßig zu tun.
Die Methode in diesem Artikel wurde referenziert von: https://www.youtube.com/watch?v=9tLUbsdNX88