wpscan

WPScan 是一款专为 **WordPress 网站安全扫描** 设计的工具，主要用于检测 WordPress 核心程序、插件、主题的已知漏洞，枚举用户、爆破密码，以及识别网站的配置信息（如版本号、安装路径等）。

Github地址：https://github.com/wpscanteam/

## 功能

wordpress版本枚举：通过元生成器标签（Meta Generator Tag）、读取日志文件、RSS 源中的链接、相对路径差异等技术来识别和确认 WordPress 的版本。

主题枚举：通过暴力破解 wp-content/themes/ 目录来发现已安装的、甚至是未启用的主题。

漏洞检测：它会将检测到的主题名称和版本与数据库（WordPress 漏洞数据库（WVDB））进行匹配，报告已知的安全漏洞。

插件枚举：通过暴力破解 wp-content/plugins/ 目录来发现已安装的插件。

用户枚举：

- 通过访问 /?author=1 之类的链接，WordPress 可能会重定向到作者页面，从而暴露用户名。
- RSS/Atom 源： 文章作者名通常会出现在源中。
- REST API： 通过 /wp-json/wp/v2/users 端点可以轻松获取用户列表（如果未禁用）。
- 登录页面错误信息： 尝试登录时，输入存在的用户名和错误密码，与输入不存在的用户名，返回的错误信息可能不同，从而可以推断用户名是否存在。

密码暴力破解/字典攻击：WPScan 集成了一个强大的密码爆破模块，可以针对枚举出的用户列表进行攻击。并且支持使用自定义密码字典，并可以智能地处理 WordPress 的登录限制（如 Cookies）和重定向。

配置文件泄露检测：检查是否存在 wp-config.php 备份文件（如 wp-config.php.bak, wp-config.php.save 等），该文件包含数据库凭据等高度敏感信息。

数据库备份文件检测：检查 Web 根目录下是否存在常见的数据库备份文件（如 .sql, .zip, .tar.gz 等）。

TimThumb漏洞检测：检查是否存在老版本的、存在严重漏洞的 TimThumb（一个流行的图片缩放脚本）文件。

多媒体文件枚举：可以枚举上传的图片、视频等，有时可能包含敏感信息。

wp-cron任务检查：检查可公开访问的 WP-Cron 任务，这可能被滥用进行拒绝服务攻击。

**漏洞数据库**：数据来源包括 CVE（Common Vulnerabilities and Exposures）、WordPress 官方安全公告、第三方安全研究等，定期更新以覆盖最新漏洞。

## 语法

```bas
wpscan --url <目标URL> [选项]
```

## 参数

> 基础参数

| 参数             | 说明                                    | 用法示例                           |
| ---------------- | --------------------------------------- | ---------------------------------- |
| --url \<目标URL> | 指定要扫描的 WordPress 网站 URL（必填） | wpscan --url `https://example.com` |
| --update         | 更新 WPScan 的漏洞数据库                | wpscan --update                    |
| -h / --help      | 查看所有参数帮助文档                    | wpscan -h                          |

> 信息枚举

| 参数                        | 说明                     |
| --------------------------- | ------------------------ |
| --enumerate \\<types> 或 -e | 枚举特定类型信息         |
| -e vp                       | 枚举有漏洞的插件         |
| -e vt                       | 枚举有漏洞的主题         |
| -e u                        | 枚举用户                 |
| -e p                        | 枚举所有插件             |
| -e t                        | 枚举所有主题             |
| -e tt                       | 检查 TimThumb 漏洞       |
| -e ap                       | 枚举所有插件（激进模式） |
| -e at                       | 枚举所有主题（激进模式） |

> 密码爆破

| 参数                      | 说明                              |
| ------------------------- | --------------------------------- |
| --usernames \<list>       | 指定用户名列表                    |
| --usernames-file \<file>  | 从文件加载用户名                  |
| --user-id \<range>        | 按ID范围枚举用户                  |
| --passwords \<list>       | 指定密码列表                      |
| --passwords-file \<file>  | 从文件加载密码字典                |
| --password-attack \<type> | 爆破攻击类型 (wp-login 或 xmlrpc) |

> 规避参数

| 参数                     | 说明                                  |
| ------------------------ | ------------------------------------- |
| --random-user-agent      | 使用随机 User-Agent                   |
| --user-agent \<string>   | 自定义 User-Agent                     |
| --throttle \<ms>         | 请求间隔（毫秒）                      |
| --max-threads \<num>     | 最大线程数                            |
| --request-timeout \<sec> | 请求超时时间                          |
| --detection-mode \<mode> | 检测模式 (mixed, passive, aggressive) |
| --stealthy               | 隐身模式                              |

> 输出

| 参数               | 说明                           |
| ------------------ | ------------------------------ |
| --output \<file>   | 输出到文件                     |
| --format \<format> | 输出格式 (cli, json, no-color) |
| --verbose          | 详细输出                       |
| --no-banner        | 不显示横幅                     |
| --no-color         | 禁用颜色输出                   |
| --batch            | 批处理模式，不询问             |

> 高级配置参数

| 参数                    | 说明                        |
| ----------------------- | --------------------------- |
| --proxy \<proxy>        | 设置HTTP代理                |
| --proxy-auth \<auth>    | 代理认证                    |
| --disable-tls-checks    | 禁用TLS检查                 |
| --wp-content-dir \<dir> | 自定义wp-content目录        |
| --wp-plugins-dir \<dir> | 自定义插件目录              |
| --force                 | 强制扫描非WP站点            |
| --api-token \<token>    | 设置API令牌获取最新漏洞数据 |

> 其他实用参数

| 参数                    | 说明                  |
| ----------------------- | --------------------- |
| --disable-accept-header | 禁用 Accept 头部      |
| --disable-referer       | 禁用 Referer 头部     |
| --ignore-main-redirect  | 忽略主重定向          |
| --wp-version-all        | 检查所有WordPress版本 |

## 场景

> 快速安全评估

```bash
wpscan --url https://target.com --enumerate vp,vt,u --random-user-agent --throttle 1000
```

> 完整的渗透测试

```bash
wpscan --url https://target.com --enumerate u,p,t,vp,vt,tt --passwords-file common_passwords.txt --output full_audit.json --format json
```

> 有WAF防护时

```bash
wpscan --url https://target.com --enumerate u --detection-mode passive --random-user-agent --throttle 3000
```

> 针对性密码爆破

```bash
wpscan --url https://target.com --usernames admin,editor --passwords-file top_1000_passwords.txt --password-attack xmlrpc --max-threads 2
```

> 枚举用户

```bash
wpscan --url https://target.com -e u
```