Hello there, ('ω')ノ

 

WPScanツールを使用して、WordPress WebサーバのWeb脆弱性をスキャンできて。

まずは、仮想環境内にWordPressサーバをインストールするところから。

下記サイトから仮想マシンファイルををダウンロードして。

 　https://www.turnkeylinux.org/wordpress

 

 

ダウンロードファイルからインストールして。

 

 

Kali Linuxマシンと同じネットワークで有効になっていることを確認して。

WordPress VMを起動するとDHCPから自動的にIPアドレスを受け取って。

 

無事に起動したらIPアドレスを確認して。

 

 

IPアドレスがわかったら、下記URLで管理者ログインページが確認できて。

　http:// <ip address>/wp-login.php

 

 

下記のコマンドを使用してWordPress Webサーバーの脆弱性スキャンを実行して。

Headersを見ると。

WPScanはサーバープラットフォームはApacheであることがわかって。

　wpscan --url <target IP or hostname>

 

 

WPScanはユーザーアカウントの列挙を実行する機能も備えています。

下記のコマンドを使用してユーザーアカウントを抽出できて。

　wpscan --url <target IP or hostname> -e u vp

 

 

 

また、今回の結果は脆弱性が見つからなかったものの。

既知の脆弱性をすべて発見して一覧表示し、修正と参照を提供したりと。

 

さらには、下記のコマンドを使用してパスワードクラッキングができて。

　wpscan --url <target IP or hostname> -e u --passwords <password_list.txt>

 

パスワードクラッキングリストを作成するにはKali Linuxでクランチツールが使用でき。

下記からワードリストをダウンロードできて。

　https://github.com/danielmiessler/SecLists

 

Best regards, (^^ゞ