*

WordPressの管理画面にディクショナリアタックするマクロを作る

公開日: : ホワイトハック

(で、でた~ さらっとヤバいタイトル書奴~)

先に言っておくと、HTTP/HTTPS通信なので反復スピードが超絶遅い、ということと、GUIを使うということにより、このディクショナリーアタックが成功する確率は極めて低いです。

また、UWSCも本サイトが閉鎖したし、多少はね…

 

ただの思考実験です。

 

WordPressのログインの仕様

まず、これをやろうと思ったのはWordPressのログインの仕様に改善すべき特徴があったからです。

 

ユーザーネームが一致した場合、エラー文が変わる

ログインにおいて、ログイン失敗するパターンには、

  ユーザーネームが一致:パスワードが不一致

  ユーザーネームが不一致:パスワードが不一致

この二つがあります。

 

しかし、この二つには大きな違いがあります。

もし、どちらの場合でも吐き出すエラー文が同じ場合はユーザーネームに該当があるのかどうか不明です。

しかし、この二パターンで吐き出すエラー文が変わってしまう場合、ユーザーネームの探索を先に行うことができてしまいます。

 

つまり、ディクショナリーアタック、ブルートフォースアタックをする場合、アタックするパターンが極端に減ることになってしまいます。

 

百聞は一見に如かず…

fxantenna.com img

これがユーザーネームに該当がない場合のエラー文です。(Invalid username)

 

fxantenna.com img

で、これがユーザーネームに該当はあるけどパスワードが違う場合です。(“The password you entered for the username xxxxxx is incorrect”か”入力されたユーザー名 xxxxxxx のパスワードが違います”)

吐き出しのエラー文が違います。

 

ということは、まずパスワードを固定して、ユーザーネームをアタックすればいいということになります。

 

コーディング

thedictionary.txtがこの場合の辞書です。

要するに辞書にある単語を順に調べていって、ユーザー名が存在する場合のエラー文がヒットしたら終了っていうプログラムです。

 

「WordPressのログインURLがどこか分からない」って?

アタックを避けるために普通は”ドメイン\wp-login.php”直下に置いたりはしないと思いますよ~(スットボケー)

 

何が言いたいか

とりあえず、ドメイン直下にwp-login.phpを置くのをやめましょう。

それからユーザー名をadminとかにするのもやめましょう。

日本語のローマ字は意外と突破されにくいです。(日本語の辞書がそもそもレアだから)

 

FX業者もサイト書き換えされた事例があるので、(お前のことだぞTier1) 最低限、これくらいの対策はしましょうね、って話です。

 

 

通信プロトコルがHTTPあるいはHTTPSなので、純粋なアンチDosプログラムのようなものには実際ひっかからないと思います。(こんなアナログな方法でアタックする奴なんでいないですしおすし)

 

しかし、プロキシやVPNを刺した場合、この繰り返しはさらに時間がかかる訳で…アタックが成功するころには地球滅んでるんじゃないですかね

この投稿は役に立ちましたか? 役に立った 役に立たなかった 0 人中 0 人がこの 投稿 は役に立ったと言っています。

Message

メールアドレスが公開されることはありません。

CAPTCHA


関連記事

完全匿名サイトを作るやり方

なぜ完全匿名サイトを作りたいのか、というのは今は掘り下げないでおきましょう。 日本のレンタルサーバ

記事を読む

ビットコインアドレスを大量に生成する具体的方法

ビットコインを始めるにあたって、取引所のオンラインウォレットを利用する方が多いと思いますが、オンライ

記事を読む

ポンジスキームHYIP(bitminer)に大量にBTCアドレス登録する自動ツール

HYIPっつーのは、高利回りのポンジスキームのことです。だいたい数か月すれば飛びます。B9とかね。

記事を読む

no image

Windowsにログインせずにファイルを閲覧・コピーするやり方

最近、ハック系が多いですね~ Windowsって勝手にアップデートするくせに、それで勝手にバグって

記事を読む

安全にライトコインのペーパーウォレットを作るやり方

1年位前にビットコインのペーパーウォレットの作り方を紹介しましたが、最近ライトコインが上がってきたの

記事を読む

 
  • fxfx.work

    (↑広告です。このサイトの管理者の運営ではありません)

     


  • 横瀬兼元(ペンネーム)です。

    プロフィール
    商材を買わせようとする偽者がいるらしいのでご注意ください。
    ツイッター始めました(イマサラー)
    https://twitter.com/FxantennaC
    (埋め込みするとページ表示が極端に遅くなるので、リンクでご容赦を) 4000文字未満のトピックや話題はツイッターで発信しています。
  • fxfx.work

    (↑広告です。このサイトの管理者の運営ではありません)

Translate »
ページトップへ