Auditando Web site de Wordpress con Plecost




Esta Herramienta esta diseñada para Analizar los Plugins instalado en un sitio web en Wordpress, para un Pentester sabe que la mayor parte de las vulnerabilidades se encuentran en los plugins,  esta herramienta tiene como proposito a ayudar a identificar cada modulo esta herramienta :

Options:

 
-n            : Number of plugins to use (Default all - more than 7000).
   
-c            : Check plugins only with CVE associated.
   
-R file      : Reload plugin list. Use -n option to control the size (This take several minutes)
   
-o file      : Output file. (Default "output.txt")
   
-i file       : Input plugin list. (Need to start the program)
   
-s time    : Min sleep time between two probes. Time in seconds. (Default 10)
   
-M time   : Max sleep time between two probes. Time in seconds. (Default 20)
   
-t num    : Number of threads. (Default 1)
   
-h           : Display help. (More info: http://iniqua.com/labs/)


El Plecost lo  podemos hallar en el Sistema Operativo Backtrack 5  R3 , vamos a la accion abriremos la terminal

Código: [Seleccionar]
cd /pentest/web/plecost
./plecost-0.2.2-9-beta.py -i wp_plugin_list.txt -s 12 -M 30 -t 20 -o results.txt http://192.168.48.1/wordpress


Una ves ejecutado dejaremos que teste unos segundos y poco a poco nos arrojara los Plugins instalados en dicho sitio web


Entonces yo entrare al plugins videojs-html5-video-player-for-wordpress aver si encuentro algo de utilidad :


hasta el momento todo normal, pero nos vota los directorios y archivos en dicho plugins, entonces lo que hare sera entrar al archivo " admin.php"


Error encontrado listo para ser explotado el exploit lo podemos encontrar en la siguiente direccion

Link :

Saludos