Hello there, ('ω')ノ
WPScanツールを使用して、WordPress WebサーバのWeb脆弱性をスキャンできて。
まずは、仮想環境内にWordPressサーバをインストールするところから。
下記サイトから仮想マシンファイルををダウンロードして。
https://www.turnkeylinux.org/wordpress
ダウンロードファイルからインストールして。
Kali Linuxマシンと同じネットワークで有効になっていることを確認して。
WordPress VMを起動するとDHCPから自動的にIPアドレスを受け取って。
無事に起動したらIPアドレスを確認して。
IPアドレスがわかったら、下記URLで管理者ログインページが確認できて。
http:// <ip address>/wp-login.php
下記のコマンドを使用してWordPress Webサーバーの脆弱性スキャンを実行して。
Headersを見ると。
WPScanはサーバープラットフォームはApacheであることがわかって。
wpscan --url <target IP or hostname>
WPScanはユーザーアカウントの列挙を実行する機能も備えています。
下記のコマンドを使用してユーザーアカウントを抽出できて。
wpscan --url <target IP or hostname> -e u vp
また、今回の結果は脆弱性が見つからなかったものの。
既知の脆弱性をすべて発見して一覧表示し、修正と参照を提供したりと。
さらには、下記のコマンドを使用してパスワードクラッキングができて。
wpscan --url <target IP or hostname> -e u --passwords <password_list.txt>
パスワードクラッキングリストを作成するにはKali Linuxでクランチツールが使用でき。
下記からワードリストをダウンロードできて。
https://github.com/danielmiessler/SecLists
Best regards, (^^ゞ