WordPress Finger打印机工具和漏洞搜索器
plecost的Python项目详细描述
请注意
==
![徽标](https://raw.githubusercontent.com/iniqua/plecost/develope/plecost_lib/doc/images/logo_plecost.jpg)
*plecost:wordpress漏洞查找器*
问题https://github.com/iniqua/plecost/tree/python3/issues
python版本python 3.3及以上版本
作者@ggdaniel(cr0hn)-@ffranz(ffr4nz)
最新版本1.1.1
Plecost是什么?
——
Plecost是WordPress博客引擎的漏洞指纹和漏洞查找器。
为什么?
----
世界上有大量的wordpress。他们中的大多数都暴露在被攻击的环境中,在博客所有者不知情的情况下被转化成病毒、恶意软件或非法色情内容提供商。
这个项目试图帮助系统管理员和博客所有者对他们的wordpress进行一些保护。
——
>更新的cve数据库和wordpress插件列表。
-更新的cve数据库和wordpress插件更新器。
-更新的cve和wordpress插件更新器。
-性能提示
-开放性问题
<
35价格3.0.0
th是Plecost 3.0.0版本,添加了许多新功能和修复程序,例如:
-修复了许多错误。
-新引擎:没有线程或任何依赖项,但运行速度更快。我们将使用Python3异步和非阻塞连接。同时消耗更少的内存。难以置信,对吧?:)
-更改了CVE更新系统和存储:现在Plecost直接从NIST获取漏洞,并创建一个本地SQLite数据库,其中包含WordPress及其插件的筛选信息。
-WordPress漏洞:现在Plecost还管理WordPress漏洞(不仅是插件的漏洞)。
-添加本地漏洞数据库可查询的。您可以在不使用本地数据库的情况下查询具体WordPress或插件的漏洞。
>;python3-m-pip-install-plecost-pip-install-plecost
````
**请记住,plecost3只在python3中运行**.
>如果不想安装plecost-plecost,可以使用docker:docker运行docker:
``bash
>;docker-run-rm iniqua/plecost{args}
`````
其中*{args}*是plecost的任何有效参数。一个真实的例子可以是:
``bash
>>;docker run--rm iniqua/plecost-nb-w plugin-list-w plugin-list-u10.txt http://site.com
`````
quick start
>
>>快速入门
>扫描一个网站如此简单:
>
``bash
>>``bash
>>>``bash
>;plecost http://site.com
>```````````
>>>
>>
*json*
``bash
>;plecost-v http://site.com-o results.json
```
>
*xml*
``bash
>;plecost-v http://site.com-o results.xml
``
```
`>
>
`` bash
`` ` ` ` ` ` ` ` ` ` ` ` ` ` ` ` ` ` `br/>`` bash
>;plecost-nc http:。//site.com
````
**强制扫描**,即使没有检测到文字压力:
```bash
>;plecost-f http://site.com
```````
>只显示短横幅:
``bash
>````bash
>;plecost-nbhttp://site.com
`````````
>``````bash
>
>````bash
>>
plecost-nb-l
//plecost-wordpreSS Finger打印机工具-v1.0.0
可用单词列表:
1-plugin_list_10.txt
2-plugin_list_100.txt
3-plugin_list_1000.txt
4-plugin_list_250.txt
5-plugin_list_50.txt
6-plugin_list_huge.txt
```
在列表中选择一个单词列表:
``bash
>;plecost-nb-w plugin-list_10.txt http://site.com
````
可以关闭测试站点!
```bash
>;plecost--concurrency 10 http://site.com
````
或……
``bash
>;plecost-c 10 http://site.com
```````
```bash
```bash
```````
````````>>
````````````````>
`>
``更新
——
新版本和漏洞已发布d日志,您可以上传本地数据库写入:
wordpress和wordpress插件的本地漏洞数据库。你可以在离线模式下查阅它。
人们聊天
{2}-广告经理
{3}-支付宝
{4}-所有视频画廊
{5}-所有人都在一个安全的世界里,一个防火墙
{6}-另一个分类的世界里,另一个分类的世界里,一个插件
{7}-任何字体
{8}-4月27日,超级功能包
{9}-横幅效果的效果的标题
{.10}-bannerman
{11}-bib2html
{12}-bic_媒体小工具
{13}-bird_feeder
{14}-blogstand智能横幅
{15}-蓝色扳手视频小工具
…
[*]完成!
``
显示具体插件的漏洞:
```bash
>;plecost-nb-vp google_analytics
///plecost-wordpress finger printer tool-v1.0.0
[*]插件"google_analytics"的关联CVE:
{0}-CVE-2014-9174:
受影响的版本:
<;0>;-5.1.2
<;1>;-5.1.1
<;2>;-5.1
<;3>;-5.1.0
[*]完成!
```
show details of a concrete cve:
``bash
>;plecost-nb--cve cve-2014-9174
///plecost-wordpress finger printer tool-v1.0.0
[*]有关cve"cve-2014-9174"的详细信息:
yoast的google analytics中的跨站点脚本(xss)漏洞(google analytics for-wordpress)5.1.3版本之前的wordpress插件允许远程攻击者通过"常规设置"中的"手动输入你的ua代码"(手动ua代码字段)字段注入任意web脚本或html。
[*]完成!
```
[运行](https://raw.githubusercontent.com/iniqua/plecost/python3/plecost-lib/doc/images/running.gif)
这里有更多的真实网站的Plecost结果…:)
![示例1](https://raw.githubusercontent.com/iniqua/plecost/python3/plecost-lib/doc/images/scan-example1.png)
![示例2](https://raw.githubusercontent.com/iniqua/plecost/python3/plecost-lib/doc/images/scan-example2.png)
![示例3](https://raw.githubusercontent.com/iniqua/plecost/python3/plecost-lib/doc/images/scan-example3.png)
![示例4](https://raw.githubusercontent.com/iniqua/plecost/python3/plecost-lib/doc/images/scan-example4.png)
![示例5](https://raw.githubusercontent.com/iniqua/plecost/python3/plecost-lib/doc/images/scan-example5.png)
![示例6](https://raw.githubusercontent.com/iniqua/plecost/python3/plecost-lib/doc/images/scan-example6.png)
![示例7](https://raw。githubusercontent.com/iniqua/plecost/python3/plecost-lib/doc/images/scan-example7.png)
——
plecost可在以下位置获得:
*kali linux http://www.kali.org/
*backtrack 5 http://www.backtrack-linux.org/
*backbox http://www.backbox.org/
references
——
*http://www.securitybydefault.com/2010/03/seguridad-en-wordpress.html
*http://www.securitybydefault.com/2011/11/identification de vulnerabilidades en.html
*http://www.clshack.it/plecost-a-wordpress-penetration-test-for-plugins
*http://securityetalii.wordpress.com/2010/03/06/auditando wordpress-con-plecost/
*http://loginroot.diosdelared.com/?coment=6116
*http://ayudawordpress.com/securidad en wordpress/
*http://www.ehacking.net/2012/05/wordpress-security-vulnerability.html
==
![徽标](https://raw.githubusercontent.com/iniqua/plecost/develope/plecost_lib/doc/images/logo_plecost.jpg)
*plecost:wordpress漏洞查找器*
------问题https://github.com/iniqua/plecost/tree/python3/issues
python版本python 3.3及以上版本
作者@ggdaniel(cr0hn)-@ffranz(ffr4nz)
最新版本1.1.1
Plecost是什么?
——
Plecost是WordPress博客引擎的漏洞指纹和漏洞查找器。
为什么?
----
世界上有大量的wordpress。他们中的大多数都暴露在被攻击的环境中,在博客所有者不知情的情况下被转化成病毒、恶意软件或非法色情内容提供商。
这个项目试图帮助系统管理员和博客所有者对他们的wordpress进行一些保护。
——
>更新的cve数据库和wordpress插件列表。
-更新的cve数据库和wordpress插件更新器。
-更新的cve和wordpress插件更新器。
-性能提示
-开放性问题
<
35价格3.0.0
th是Plecost 3.0.0版本,添加了许多新功能和修复程序,例如:
-修复了许多错误。
-新引擎:没有线程或任何依赖项,但运行速度更快。我们将使用Python3异步和非阻塞连接。同时消耗更少的内存。难以置信,对吧?:)
-更改了CVE更新系统和存储:现在Plecost直接从NIST获取漏洞,并创建一个本地SQLite数据库,其中包含WordPress及其插件的筛选信息。
-WordPress漏洞:现在Plecost还管理WordPress漏洞(不仅是插件的漏洞)。
-添加本地漏洞数据库可查询的。您可以在不使用本地数据库的情况下查询具体WordPress或插件的漏洞。
>;python3-m-pip-install-plecost-pip-install-plecost
````
**请记住,plecost3只在python3中运行**.
>如果不想安装plecost-plecost,可以使用docker:docker运行docker:
``bash
>;docker-run-rm iniqua/plecost{args}
`````
其中*{args}*是plecost的任何有效参数。一个真实的例子可以是:
``bash
>>;docker run--rm iniqua/plecost-nb-w plugin-list-w plugin-list-u10.txt http://site.com
`````
quick start
>
>>快速入门
>扫描一个网站如此简单:
>
``bash
>>``bash
>>>``bash
>;plecost http://site.com
>```````````
>>>
>>
*json*
``bash
>;plecost-v http://site.com-o results.json
```
>
*xml*
``bash
>;plecost-v http://site.com-o results.xml
``
```
`>
>
`` bash
`` ` ` ` ` ` ` ` ` ` ` ` ` ` ` ` ` ` `br/>`` bash
>;plecost-nc http:。//site.com
````
**强制扫描**,即使没有检测到文字压力:
```bash
>;plecost-f http://site.com
```````
>只显示短横幅:
``bash
>````bash
>;plecost-nbhttp://site.com
`````````
>``````bash
>
>````bash
>>
plecost-nb-l
//plecost-wordpreSS Finger打印机工具-v1.0.0
可用单词列表:
1-plugin_list_10.txt
2-plugin_list_100.txt
3-plugin_list_1000.txt
4-plugin_list_250.txt
5-plugin_list_50.txt
6-plugin_list_huge.txt
```
在列表中选择一个单词列表:
``bash
>;plecost-nb-w plugin-list_10.txt http://site.com
````
可以关闭测试站点!
```bash
>;plecost--concurrency 10 http://site.com
````
或……
``bash
>;plecost-c 10 http://site.com
```````
```bash
```bash
```````
````````>>
````````````````>
`>
``更新
——
新版本和漏洞已发布d日志,您可以上传本地数据库写入:
wordpress和wordpress插件的本地漏洞数据库。你可以在离线模式下查阅它。
人们聊天
{2}-广告经理
{3}-支付宝
{4}-所有视频画廊
{5}-所有人都在一个安全的世界里,一个防火墙
{6}-另一个分类的世界里,另一个分类的世界里,一个插件
{7}-任何字体
{8}-4月27日,超级功能包
{9}-横幅效果的效果的标题
{.10}-bannerman
{11}-bib2html
{12}-bic_媒体小工具
{13}-bird_feeder
{14}-blogstand智能横幅
{15}-蓝色扳手视频小工具
…
[*]完成!
``
显示具体插件的漏洞:
```bash
>;plecost-nb-vp google_analytics
///plecost-wordpress finger printer tool-v1.0.0
[*]插件"google_analytics"的关联CVE:
{0}-CVE-2014-9174:
受影响的版本:
<;0>;-5.1.2
<;1>;-5.1.1
<;2>;-5.1
<;3>;-5.1.0
[*]完成!
```
show details of a concrete cve:
``bash
>;plecost-nb--cve cve-2014-9174
///plecost-wordpress finger printer tool-v1.0.0
[*]有关cve"cve-2014-9174"的详细信息:
yoast的google analytics中的跨站点脚本(xss)漏洞(google analytics for-wordpress)5.1.3版本之前的wordpress插件允许远程攻击者通过"常规设置"中的"手动输入你的ua代码"(手动ua代码字段)字段注入任意web脚本或html。
[*]完成!
```
[运行](https://raw.githubusercontent.com/iniqua/plecost/python3/plecost-lib/doc/images/running.gif)
这里有更多的真实网站的Plecost结果…:)
![示例1](https://raw.githubusercontent.com/iniqua/plecost/python3/plecost-lib/doc/images/scan-example1.png)
![示例2](https://raw.githubusercontent.com/iniqua/plecost/python3/plecost-lib/doc/images/scan-example2.png)
![示例3](https://raw.githubusercontent.com/iniqua/plecost/python3/plecost-lib/doc/images/scan-example3.png)
![示例4](https://raw.githubusercontent.com/iniqua/plecost/python3/plecost-lib/doc/images/scan-example4.png)
![示例5](https://raw.githubusercontent.com/iniqua/plecost/python3/plecost-lib/doc/images/scan-example5.png)
![示例6](https://raw.githubusercontent.com/iniqua/plecost/python3/plecost-lib/doc/images/scan-example6.png)
![示例7](https://raw。githubusercontent.com/iniqua/plecost/python3/plecost-lib/doc/images/scan-example7.png)
——
plecost可在以下位置获得:
*kali linux http://www.kali.org/
*backtrack 5 http://www.backtrack-linux.org/
*backbox http://www.backbox.org/
references
——
*http://www.securitybydefault.com/2010/03/seguridad-en-wordpress.html
*http://www.securitybydefault.com/2011/11/identification de vulnerabilidades en.html
*http://www.clshack.it/plecost-a-wordpress-penetration-test-for-plugins
*http://securityetalii.wordpress.com/2010/03/06/auditando wordpress-con-plecost/
*http://loginroot.diosdelared.com/?coment=6116
*http://ayudawordpress.com/securidad en wordpress/
*http://www.ehacking.net/2012/05/wordpress-security-vulnerability.html