WPForce dalah salah satu tools Serangan WordPress. Saat ini, ini berisi 2 script - WPForce, yang memaksa login melalui API, dan Yertle, yang mengunggah shell setelah kredensial admin ditemukan. Yertle juga berisi sejumlah modul pasca-eksploitasi.
Features
- Can automatically upload an interactive shell
- Can be used to spawn a full-featured reverse shell
- Dumps WordPress password hashes
- Can backdoor authentication function for plaintext password collection
- Inject BeEF hook into all pages
- Pivot to meterpreter if needed
- Brute Force via API, not login form bypassing some forms of protection
Installation WPForce Tool
Untuk mendapatkan tool tersebut anda harus melakukan cloning repository berikut
git clone https://github.com/n00py/WPForce
Running WPForce Tool
Untuk menjalankannya anda bisa menginstall python terlebih dahulu, di terminal anda karena script ini di tulis menggunakan program python
Jalankan perintah berikut
python wpforce.py
*Usage
Sebelum menjalankan tool tersebut kalian wajib mempunyai wordlist untuk melakukan brute force terhadap target
python wpforce.py -i worlistuser.txt -w wordlistpass.txt -u http://target.com
Jika berhasil seperti gambar di atas, pastikan target kalian memiliki fitur xmlrpc.php, disini kalian bisa memainkan dork kalian lalu tunggu hinggal username dan password cocok
Running And Upload Shell
Jika kita sudah menemukan username atau password target tersebut, kalian bisa langsung upload shell dengan menjalankan perintah seperti berikut
python yertle.py -u username -p password -u http://target.com