wpbf - WordPress暴力工具

wpbf是一个基于Python的强力工具，用于在WordPress站点上远程测试密码强度，用户名枚举和插件检测。
这个怎么运作
该脚本将尝试使用枚举的用户名，单词列表和博客内容中的相关关键字，通过登录表单登录WordPress仪表板。如果给出了单个用户名，则脚本将不会搜索其他用户名。
找到正确的用户名/密码后，它将被记录并显示在标准输出中。
为了获得更快的结果，您可以生成线程，但要小心不要泛滥/ DoS站点。可以在“ config.py ”和“ logging.conf”文件中更改默认设置。

wordlist必须每行有一个条目，提供一个小的wordlist（wordlist.txt）和插件列表（plugins.txt）用于测试目的。

注意：它需要Python 2.6 。
特征：

用户名枚举和检测（TALSOFT-2011-0526，作者的存档页面和内容解析）
主题
使用词汇表中博客内容的关键字
HTTP代理支持
基本的WordPress指纹（版本和完整路径）
高级插件指纹（暴力，发现和版本/文档）
检测Login LockDown插件（此插件使暴力无用）
使用Python的日志记录库和日志配置文件进行高级日志记录

用法：wpbf.py [-h] [-w WORDLIST] [-u USERNAME] [-s SCRIPTPATH] [-t THREADS] [-p PROXY] [-nk] [-eu]网址wpbf将审核并强制您的WordPress安装以测试密码强度，服务器配置，用户和已安装的插件。它目前支持线程和HTTP代理，并提供一个非常小的默认wordlist（a默认情况下，从博客的内容和基本生成动态wordlist用户名检测。
位置参数： url基本URL安装WordPress的位置可选参数：
-h， -  help显示此帮助消息并退出
-w WORDLIST， - wordlist WORDLIST worldlist文件（默认值：wordlist.txt）
-nk， -  nokeywords不搜索内容中的关键字并将其添加到词汇表
-u USERNAME， - username USERNAME 用户名（默认值：无）
-s SCRIPTPATH， - scriptpath SCRIPTPATH 登录表单的路径（默认值：wp-login.php）
-t THREADS， - --threads THREADS 脚本将产生多少个线程（默认值：5）
-p PROXY， - proxy PROXY http代理（例如：http：// localhost：8008 /）
-nf， -  nofingerprint不指纹WordPress
-eu， -  enumerateusers  仅枚举用户（不使用强制执行）
-mu MAXUSERS， - maxusers MAXUSERS 要枚举的最大用户名数（默认值：no限制）- ENUMERATETOLERANCE， - enumeratetolerance ENUMERATETOLERANCE 在用户名枚举中使用的用户ID间隙容差（默认值：3）
-nps， -  nopluginscan跳过插件强力，枚举和指纹  找到密码后
-ds， -  extendstop不会停止，继续全部待定任务  --test运行python doctests（你可以在这里使用虚拟URL）