近日,WordPress社区的朋友反映,他们被使用xmlrpc.php进行暴力破解攻击。利用xmlrpc.php提供的接口尝试猜测用户密码,可以绕过wordpress对暴力破解的限制。已发现大规模利用,已启用xmlrpc的同学需尽快修复。 安装或升级Login Security Solutin插件
通常wordpress登录界面都有防暴力破解的保护,比如freebuf登录只能尝试5次。
这里使用了xmlrpc。 PHP 攻击可以绕过这些限制。攻击方法直接POST如下数据到xmlrpc.php.
username字段是预先收集的用户名 。 password 是要尝试的密码。关于getUsersBlogs接口的更多信息,请参考官方指南。如果密码正确,则返回:
/ p>
密码错误返回403:
使用intruder测试,发现服务器没有限制。
[Freebuf :感谢紫霞,freebuf尽快修复了问题]
