Брут wordpress через xmlrpc уже неактуален?

Discussion in 'Уязвимости' started by failsafe, 14 Feb 2020.

  1. failsafe

    failsafe Member

    Joined:
    1 Apr 2016
    Messages:
    37
    Likes Received:
    10
    Reputations:
    2
    Поставил локально через ampss стоковый вордпресс, когда пачкой в xmlrpc кидаю логины-пароли и тот , что верный в середине списка, то по всем логинам-паролям ответ,что "Incorrect username or password.", в том числе и верному.
    Если же верный логин-пароль - первый в списке, то ответ по нему положительный.
    Это типа защита такая? Если да , начиная с какой версии она появилась?
     
  2. tester_new

    tester_new Elder - Старейшина

    Joined:
    12 Feb 2012
    Messages:
    288
    Likes Received:
    39
    Reputations:
    24
    Попробуй посмотри в сторону wp-cli
     
  3. death_morlock

    death_morlock New Member

    Joined:
    5 Apr 2020
    Messages:
    17
    Likes Received:
    2
    Reputations:
    0
    Я тестил недавно, через Burp на wp 5.2 , там походу фиксанули так что, когда через multicall шлешь пачку пар логин-пасс, то после первого неверного вхождения все последующие идут как неверные. (даже если на самом деле верные данные)
    А все брутеры юзают его ибо за раз ~1800 пасов чекать можно было. Единичный запрос вроде работате, но это такое.. 1 запрос 1 пароль.. вечность.
     
    failsafe likes this.
  4. failsafe

    failsafe Member

    Joined:
    1 Apr 2016
    Messages:
    37
    Likes Received:
    10
    Reputations:
    2
    да, тоже смотрел код месяц назад, начиная с какой то версии там действительно точно такая логика и стоит...
     
Loading...