备案控制台

开发者社区云原生文章正文

kali下WordPress漏洞探测器Plecost

2018-02-28 1151

版权

版权声明：

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 版权声明：转载请注明出处:http://blog.csdn.net/dajitui2024 https://blog.csdn.net/dajitui2024/article/details/79396591 ...

版权声明：转载请注明出处:http://blog.csdn.net/dajitui2024 https://blog.csdn.net/dajitui2024/article/details/79396591

参考：
https://github.com/iniqua/plecost
https://www.youtube.com/watch?v=s2UGL_8IGQE

Plecost是Wordpress博客引擎的漏洞指纹识别和漏洞查找器。

工具部署：
python3 -m pip install plecost

利用docker直接使用工具：
docker run --rm iniqua/plecost {ARGS}
{ARGS}特指本工具的任意参数

例如：
docker run --rm iniqua/plecost -nb -w plugin_list_10.txt http://目标.com
txt文件，可以通过 plecost -nb -l  来查看选择

安装后使用：
plecost http://目标.com

plecost -v http://SITE.com -o results.json
扫描结果输出为json后缀保存vun

plecost -v http://SITE.com -o results.xml
扫描结果输出为xml格式保存

plecost -f http://目标.com
强制扫描，即使没有探测到wordpress

plecost -c 10 http://SITE.com
增加扫描并发量，但是可能导致目标站点关闭访问

plecost -h
查看更多可用的选项和参数

plecost --update-cve
更新漏洞库

plecost --update-plugins
更新插件列表

plecost -nb --show-plugins
查看已有的漏洞插件

plecost -nb -vp google_analytics
查看指定的具体插件的内容

plecost -nb --cve CVE-2014-9174
查看具体CVE的详细信息

https://hackertarget.com/100k-top-wordpress-powered-sites/
在线的查找一些wordpress站点

文章标签：

安全

容器

Docker

关键词：

wordpress漏洞

z奶油面包

目录

相关文章

李火火

|

Web App开发移动开发安全

WordPress插件wp-file-manager任意文件上传漏洞(CVE-2020-25213)

WordPress插件WPFileManager中存在一个严重的安全漏洞,攻击者可以在安装了此插件的任何WordPress网站上任意上传文件并远程代码执行。

李火火

536 1 1

拈花倾城

|

5月前

|

存储安全前端开发

WordPress未经身份验证的远程代码执行CVE-2024-25600漏洞分析

WordPress未经身份验证的远程代码执行CVE-2024-25600漏洞分析

拈花倾城

217 0 0

游客oh6lc6rmikcss

|

SQL 安全数据库

WordPress插件中的流行的严重错误发布的PoC漏洞

WordPress插件中的流行的严重错误发布的PoC漏洞

游客oh6lc6rmikcss

349 0 0

码农工程师

|

安全 PHP

PHP Everywhere 三个 RCE 漏洞威胁大量 WordPress 网站

PHP Everywhere 三个 RCE 漏洞威胁大量 WordPress 网站

码农工程师

200 0 0

网站安全

|

SQL 安全前端开发

网站漏洞检测 wordpress sql注入漏洞代码审计与修复

wordpress系统本身代码，很少出现sql注入漏洞，反倒是第三方的插件出现太多太多的漏洞，我们SINE安全发现，仅仅2019年9月份就出现8个插件漏洞，因为第三方开发的插件，技术都参差不齐，对安全方面也不是太懂导致写代码过程中没有对sql注入，以及xss跨站进行前端安全过滤，才导致发生sql注入漏洞。

网站安全

430 0 0

网站漏洞检测 wordpress sql注入漏洞代码审计与修复

网站安全

|

安全关系型数据库 MySQL

网站漏洞修复对WordPress 致命漏洞注入shell

2019年正月刚开始，WordPress最新版本存在远程代码注入获取SHELL漏洞，该网站漏洞影响的版本是wordpress5.0.0，漏洞的产生是因为image模块导致的，因为代码里可以进行获取目录权限，以及文件包含功能，导致远程代码注入成功。

网站安全

418 0 0

网站漏洞修复对WordPress 致命漏洞注入shell

网站安全

|

SQL 弹性计算安全

WordPress4.9 最新版本网站安全漏洞详情与修复

wordpress 目前互联网的市场占有率较高，许多站长以及建站公司都在使用这套开源的博客建站系统来设计网站，wordpress的优化以及html静态化，深受google以及搜索引擎的喜欢，全世界大约有着百分之28的网站都在使用这套系统，国外，外贸网站，个人博客使用的最多。

网站安全

224 0 0

WordPress4.9 最新版本网站安全漏洞详情与修复

网站安全

|

安全数据库

最新2018年6月份Wordpress通杀全版本漏洞详情及利用方法

2018年6月29日，wordpress爆出最新漏洞，该网站漏洞通杀所有wordpress版本，包括目

网站安全

228 0 0

最新2018年6月份Wordpress通杀全版本漏洞详情及利用方法

stefanie燕

|

弹性计算安全

阿里云提示wordpress IP验证不当漏洞手动处

登录阿里云后台有漏洞安全修复提示，级别尽快修复，同时给出ECS服务器管理重要通知：您的云服务器（xxx.xx.xxx.xx）由于被检测到对外攻击，已阻断该服务器对其它服务器端口（UDP:ALL）的访问，阻断预计将在2018-04-23 09:56:58时间内结束，请及时进行安全自查。若有疑问，请工单或电话联系阿里云售后

stefanie燕

252 0 1

ambulong2

|

PHP 数据库

Wordpress <= 4.9.6 任意文件删除漏洞

ambulong2

4733 0 2

热门文章

最新文章

Docker部署WordPress LNMP(Nginx PHP MySQL)环境实践

手把手教你 WordPress 使用阿里云 CDN 教程，让你的网站飞起来

22个免费和高级WordPress的滑块插件

WordPress 后台发布文章时提示用户选择分类

wordpress 自定义登录表单

wordpress页面前端添加编辑按钮

CentOS7.2基于LNMP+WordPress离线安装

有关WordPress的Rss导入指南

Facebook将让所有的WordPress博客支持即时文章

12款免费的 WordPress 响应式主题下载

WordPress插件：链接自动识别转为超链接

WordPress原创插件：当日24小时发布文章标题变红

WP-AutoPostPro WordPress自动采集发布插件

基于WordPress开发的高颜值的自适应主题，支持白天与黑夜模式

【wordPress】WordPress删除index.php后缀【亲测有效】（手把手教学）

使用docker快速搭建wordpress服务，并指定域名访问

云主机搭建WordPress

【ripro美化】全站美化包WordPress RiPro主题二开美化版sucaihu-childV1.9（功能集成到后台）

wordpress博客系统详细安装部署教程

WordPress未经身份验证的远程代码执行CVE-2024-25600漏洞分析

相关电子书

更多

低代码开发师（初级）实战教程

冬季实战营第三期：MySQL数据库进阶实战

阿里巴巴DevOps 最佳实践手册

相关实验场景

更多

WordPress自助建站教程

基于函数计算快速搭建Wordpress博客系统

使用阿里云容器服务和容器网络文件系统搭建WordPress网站

基于Linux命令实现WordPress手动建站

手动搭建WordPress（CentOS 8）

下一篇

AI助理直击要害，从繁复中提炼精华——使用CDN加速访问OSS存储的图片