利用xmlrpc.php 绕过wordpress 暴力破解限制漏洞

chingwp · 发表于 2014-8-8 22:25:36

本帖最后由 chingwp 于 2014-8-8 22:29 编辑

近几天wordpress社区的小伙伴们反映遭到了利用xmlrpc.php进行暴力破解的攻击。利用xmlrpc.php提供的接口尝试猜解用户的密码，可以绕过wordpress对暴力破解的限制。已经发现了大规模的利用，启用了xmlrpc的同学需要尽快修复。安装或者升级Login Security Solutin插件

通常wordpress登录接口都是做了防暴力破解防护的，比如freebuf的登录只能有尝试5次。

这种利用xmlrpc.php的攻击可以绕过这些限制。攻击的方式直接POST以下数据到xmlrpc.php.

<?xml version="1.0" encoding="iso-8859-1"?>
<methodCall>
  <methodName>wp.getUsersBlogs</methodName>
  <params>
<param><value>username</value></param>
<param><value>password</value></param>
  </params>
</methodCall>

http://www.freebuf.com/articles/web/38861.html
http://blog.tigertech.net/posts/blocking-wordpress-xmlrpc-password-attempts/

晓白 · 发表于 2014-8-8 22:29:32

提示: 作者被禁止或删除内容自动屏蔽

chingwp · 发表于 2014-8-8 22:32:16

晓白发表于 2014-8-8 22:29
楼主你干爹喊你回家吃饭了

老干妈来一发？

可爱的怪兽 · 发表于 2014-8-8 22:39:11

这个持续半年了

贱人就是矫情 · 发表于 2014-8-8 22:40:44

我靠，那这个洞岂不是存在很久了~？！

这位太太 · 发表于 2014-8-8 23:06:02

看上去是通过xmlrpc暴力破解？
密码复杂的话，问题不大。

mulao · 发表于 2014-8-9 00:01:46

xmlrpc不用的话，就删掉
如果要用的话，在nginx里面设置只有自己可以用就行了

yrdesign · 发表于 2014-8-9 00:02:43

提示: 作者被禁止或删除内容自动屏蔽

kougui · 发表于 2014-8-9 08:22:50

表示已经禁用~

winig72 · 发表于 2014-8-9 09:33:45

我靠，

		自动登录	找回密码
密码			注册

晓白晓白当前离线积分 7664	发表于 2014-8-8 22:29:32 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
晓白晓白当前离线积分 7664
	回复支持反对举报

yrdesign yrdesign 当前离线积分 10219	发表于 2014-8-9 00:02:43 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
yrdesign yrdesign 当前离线积分 10219
	回复支持反对举报

利用xmlrpc.php 绕过wordpress 暴力破解限制漏洞

相关帖子