워드프레스 점검 도구(WPScan) window 환경에서 사용하기
WPScan이란?
WPScan은 워드프레스 점검 도구로 워드프레스 설치 버젼 체크, 설치 플러그인 취약성 점검, 워드프레스 계정 확인 등 여러가지 기능을 수행한다.
보통 칼리나 우분투에 설치해서 사용하는데 리눅스 설치하기 귀찮아서 한번 WPScan을 window 환경에서 사용하는 법을 알아보겠다
설치방법
먼저 Window 환경에서 WPScan을 설치하려면 Ruby를 먼저 설치해야한다.
https://rubyinstaller.org/downloads/
Downloads
Which version to download? If you don’t know what version to install and you’re getting started with Ruby, we recommend that you use the Ruby+Devkit 3.2.X (x64) installer. It provides the biggest number of compatible gems and installs the MSYS2 Devkit
rubyinstaller.org
위 사이트에서 루비를 다운로드
다운로드한 파일을 실행한 뒤 라이센스 동의 후 Next 눌러서 쭉 설치(체크된 항목 건드릴 필요 없음)
설치가 완료됐다면 cmd 창에서 다음 명령어를 쳐서 WPScan을 검색
gem search WPScan
wpscan 3.8.25 버전이 검색된다
이제 설치해보자
gem install wpscan
wpscan --update --disable-tls-checks
만약 설치 중에 libcurl 에러가 나온다면 https://miloserdov.org/?p=4005#libcurl.dll 여기에서 해결 방법을 확인
설치가 정상적으로 완료됐다면 --help 옵션을 사용해 사용법을 확인
wpscan --help
사용법이 잘 나와 있는데 그중 많이 쓸 거 같은 명령어 몇 개만 적어보겠다
wpscan --url 주소 //워드프레스 사이트 스캔
wpscan --url 주소 -e p //해당 사이트 플러그인 스캔
wpscan --url 주소 -e u //해당 사이트 사용자 스캔
wpscan --url 주소 -usernames 사용자명 --passwords 워드리스트 //해당계정 워드리스트로 무차별 대입공격
이렇게 window 환경에서 WPScan을 사용하는 방법을 알아보았다.
'해킹' 카테고리의 다른 글
| [해킹] DirBuster로 숨겨진 파일 및 디렉터리 찾기 (0) | 2024.01.23 |
|---|---|
| [해킹] Burp Suite로 웹 크롤링하고 자동으로 SQL Injection (0) | 2024.01.22 |
| Burp Suite Spider 기능으로 사이트 구조 파악하기 (0) | 2024.01.16 |
| BlueStack 안드로이드 11버전 Burp Suite 이용하는 방법 (2) | 2024.01.10 |
| [해킹] 워드프레스 관리자 페이지 무차별 대입 공격(Brute-Force Attack) (0) | 2024.01.05 |
