设为首页收藏本站
切换到宽版

全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

全球主机交流论坛»论坛 主机综合交流 美国VPS综合讨论 利用xmlrpc.php 绕过wordpress 暴力破解限制漏洞 ...
CeraNetworks网络延迟测速工具IP归属甄别会员请立即修改密码
12下一页
返回列表 发新帖
查看: 4099|回复: 11

利用xmlrpc.php 绕过wordpress 暴力破解限制漏洞

[复制链接]
chingwp
发表于 2014-8-8 22:25:36 | 显示全部楼层 |阅读模式
本帖最后由 chingwp 于 2014-8-8 22:29 编辑

近几天wordpress社区的小伙伴们反映遭到了利用xmlrpc.php进行暴力破解的攻击。利用xmlrpc.php提供的接口尝试猜解用户的密码,可以绕过wordpress对暴力破解的限制。已经发现了大规模的利用,启用了xmlrpc的同学需要尽快修复。安装或者升级Login Security Solutin插件

通常wordpress登录接口都是做了防暴力破解防护的,比如freebuf的登录只能有尝试5次。

这种利用xmlrpc.php的攻击可以绕过这些限制。攻击的方式直接POST以下数据到xmlrpc.php.

<?xml version="1.0" encoding="iso-8859-1"?>
<methodCall>
  <methodName>wp.getUsersBlogs</methodName>
  <params>
   <param><value>username</value></param>
   <param><value>password</value></param>
  </params>
</methodCall>


http://www.freebuf.com/articles/web/38861.html
http://blog.tigertech.net/posts/blocking-wordpress-xmlrpc-password-attempts/
wordpress, 暴力, wordpress

相关帖子
回复

举报

晓白
发表于 2014-8-8 22:29:32 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

举报

chingwp
 楼主| 发表于 2014-8-8 22:32:16 | 显示全部楼层
晓白 发表于 2014-8-8 22:29
楼主 你干爹喊你回家吃饭了

  老干妈来一发?
回复 支持 反对

举报

发表于 2014-8-8 22:39:11 | 显示全部楼层
这个持续半年了
回复 支持 反对

举报

发表于 2014-8-8 22:40:44 | 显示全部楼层
我靠, 那这个洞岂不是存在很久了~?!
回复 支持 反对

举报

这位太太
发表于 2014-8-8 23:06:02 | 显示全部楼层
看上去是通过xmlrpc暴力破解?
密码复杂的话,问题不大。
回复 支持 反对

举报

mulao
发表于 2014-8-9 00:01:46 | 显示全部楼层
xmlrpc不用的话,就删掉
如果要用的话,在nginx里面设置只有自己可以用就行了
回复 支持 反对

举报

yrdesign
发表于 2014-8-9 00:02:43 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

举报

kougui
发表于 2014-8-9 08:22:50 | 显示全部楼层
表示已经禁用~
回复 支持 反对

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|全球主机交流论坛

GMT+8, 2025-1-9 15:13 , Processed in 0.262462 second(s), 11 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表