ClsHack:Computer Security Blog    

[Python]WordPress brute force script :D

Posted on: 23 June 2010

Sicurezza sempre meno… colpa di chi ? Quasi sempre nostra… ad esempio un coglione H4, un po’ di tempo fa è entrato nel blog del nostro amico sskull.

Come ha fatto ?

Con un attacco brute force, il nostro amico sskull aveva lasciato una password un po’ troppo debole e quel merda di bambino è entrato…

Oggi vi posto un piccolo script scritto in python, che permette di effettuare attacchi brute force a wordpress, non a scopi lamer, ma per imparare a difendersi.

Si va diciamola cosi, io questo script, l’ho fatto perché non avevo niente da fare… vedete voi come utilizzarlo ;)
Spero non sul mio blog, perchè tanto non avrebbe senso, la mia password è introvabile, se non fra anni tramite un attacco brute force.

DOWNLOAD WORDPRESS BRUTE FORCE
La sintassi è molto semplice…
Per usarlo:
wget http://www.clshack.com/nopaste/wordpress_brute.py
python wordpress_brute.py
Ed ecco dei buoni dizionari:
DOWNLOAD DIZIONARI PASSWORD

Buon cracking :D

Related posts:

  1. [scanner]Plecost: A WordPress Penetration-Test for Plugins
  2. [security-update]Exploit WordPress 2.8.3
  3. [CondorHacker -.-' USERS ]Select * from USERS
  4. WordPress:Script ultimi n articoli.
  5. Velocizza WordPress con Db-Cache

This entry was posted on Wednesday, June 23rd, 2010 at 4:15 pm and is filed under GNU/Linux, Hacking, Software. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Tagged with:
  • L1ghtman

    Ma alla fine H4 era entrato? A me non pare

  • http://www.buzzurri.org Phosphore

    @L1ghtman sskull aveva detto che era probabile gli avesse brutato la psw dato che era di 6 lettere. Ma così non è stato..

  • http://sskull.wordpress.com/ Smokig Skull

    @L1ghtman – Probabilmente è andata così. Anche perché ho ritrovato due commenti nel blog che io non avevo scritto, ed erano sgrammatizzati proprio come scrive quell’analfabeta di Hacker-H4

  • clshack

    Quel fottuto stronzo :P

  • http://www.buzzurri.org Phosphore

    @cls quoto.. :)

  • http://Lordtittis3000@hotmail.it LordTittiS3000

    Si ma secondo me quel lamer di merda avrà usato dei programmi molto comuni, non script che non sa neanche far partire..lol

  • clshack

    @LordTittiS3000:

    probabile :P

    Poi non sa che python può andare anche su windows… ma non dirglielo è :D

    E lascialo stare che sta imparando il comando whois :D

  • s3rg3770

    ma anzichè scegliere una password robusta, ci sono dei plugin già pronti per wordpress che SFANCULIZZAno l IP del bastardo che prova a brutare, dopo alcuni tentativi falliti di login.
    E comunque anche se entra come admin nel tuo blog, non penso sappia come fare per defacciare completamente un blog su WORDPRESS. Non hai la possibilità facile di caricare shell o eseguire comandi SERVER. Ora non so come funziona su WORDPRESS ma puoi anche levare l account admin e lasciare un account tuo per postare e basta senza tanti permessi.. Insomma sbizzarritevi…

  • http://www.clshack.it Alessio Dalla Piazza

    Infatti s3rg3770 il mio account non si chiama admin, ma chissà come si chiamerà eheh, poi altra cosa, per caricare una shell, è semplice basta modificare il template ;)

    Altra cosa, non capisco perchè wordpress non implementi da solo la funzione di “blocco dopo n tentativi sbagliati di login.”

    Come dici te, esistono plugin che fanno questo ;)

    In più wordpress, ti dice anche se l’username con cui stai provando ad accedere esiste o meno, quindi favorisce gli attacchi bruteforce..

    Comunque nella versione 3.0, l’utente si sceglie durante l’installazione il nome :D

  • Hacker-H4

    Sarò pure un analfabeta, sono straniero,ma alle fine l’attacco lo fatto. non sono qui per vantarmi. o spiegato a tutti voi come ho fatto l’attacco, in un commento su smoking. dandovi persino la sorgente del exploit.
    ma mi sà che non avete capito niente. allora cercate strade alternative, dicendo che ho buttato la password ,perché non vi sembra reale che ci sono riuscito . lo potrei rifare e rifare, ma sarebbe inutile perché tanto non capireste niente lo stesso.vivo in italia da un sacco di tempo, ma mai ho visto cosi scarsa capacita di hacking.
    io ho imparato tutto da solo non ho mai chiesto l’aiuto di nessuno per niente-
    ma la maggior parte di voi , non fa altro che chiedere aiuto per ogni cosa, non sapete ne meno da dove iniziare o cosa significa essere hacker.
    in tutto questo tempo ho conosciuto solo poche persone, che avevano qualche cosa da offrire o con delle veri doti. tutto il resto solo bambini troppo cresciuti..
    e alora avevo deciso di andarmene via per un po di tempo essere lasciato un po in pace da tutta questa gente.x questo che e stato modificato,il mio sito web, ed e stata fatta tutta quella messa in scena da Corrosion

  • clshack

    @Hacker-h4:

    Senti stronzo non stai parlando con un cretino, hai fatto vedere la sorgente di un exploit che resetta la password a versioni di wordpress < = 2.83, dove i siti sotto dominio wordpress sono tutti aggiornati quindi non può andare, e anche fosse la password la resetta all'amministratore , dove gli viene mandata via mail quindi tu non la vedi per questo sei un IDIOTA !!

    E se conoscessi anche minimamente l'inglese, forse capiresti cosa c'è scritto nell'exploit.
    http://www.clshack.it/security-wordpress-exploit-2-8-3

  • Pingback: Risorse per la Sicureza di WordPress | PillolHacking.Net

  • ivan

    Ciao a tutti…io sono nuovo e vorrei cominciare a imparare…ma come si applica lo script..? Conttattatemi pure via email…grazie

  • clshack

    @ivan:
    è tutto spiegato per bene sopra :P lo lanci da terminale o non e devi avere python :P

  • http://kn0t.doesntexist.org/ Kn0t

    Io avrei aggiunto un controllo per la wordlist, in modo che se non esiste o non è accessibile (diritti), almeno non ti vedi gli squallidi errori di python. :D

    Kn0t

  • clshack_

    @Kn0t:

    Come molti script sul blog molte cose sono solo spunti di code per far vedere quanto è semplice fare certe cose :)

    Comunque si hai ragione :)

  • http://www.google.it tom

    Mi puoi conttatare perfavore, non mi sono chiarie alcune cose.
    la mia email è umilemorano@yahoo.it

  • Fabrizio

    Ciao,
    ho windows 7 con installato python ma non capisco come devo eseguire il codice…
    Mi puoi spiegare? Grazie!

  • clshack_

    @Fabrizio:
    da terminale:

    C:\python27\python.exe codice.py ;)

  • Fabrizio

    Ti ringrazio, sono riuscito. Un ultima domanda… ma se mi chiede il txt vuol dire che vuole una wordlist… ma come faccio a fare la brute force? ovviamente per sperimentare su un mio sito nnt di maligno! XD

  • clshack_

    devi generare una wordlist generata tramite bruteforce ;)

    vedi crunch su backbox :D

  • Stella

    Ragazzi…. Come si usa??? :(

  • http://www.yahoo.it Anonimo
  • Acinemail

    Where can I put the dictionary file in windows?

    • ClsHackBlog

      In script location :D or write full path ;) 

  • Acinemail

    Where can I put the dictionary file in windows?

    • ClsHackBlog

      In script location :D or write full path ;)