AUDITANDO WORDPRESS CON PLECOST




























Esta Herramienta esta diseñada para Analizar los Plugins instalado en un sitio web en Wordpress, para un Pentester sabe que la mayor parte de las vulnerabilidades se encuentran en los plugins,  esta herramienta tiene como proposito a ayudar a identificar cada modulo esta herramienta :

Options:

 
-n            : Number of plugins to use (Default all - more than 7000).
 
-c            : Check plugins only with CVE associated.
   
-R file      : Reload plugin list. Use -n option to control the size (This take several minutes)
 
-o file      : Output file. (Default "output.txt")
 
-i file       : Input plugin list. (Need to start the program)
 
-s time    : Min sleep time between two probes. Time in seconds. (Default 10)
 
-M time   : Max sleep time between two probes. Time in seconds. (Default 20)
 
-t num    : Number of threads. (Default 1)
 
-h           : Display help. (More info: http://iniqua.com/labs/)


El Plecost lo  podemos hallar en el Sistema Operativo Backtrack 5  R3 , vamos a la accion abriremos la terminal


[code]cd /pentest/web/plecost
./plecost-0.2.2-9-beta.py -i wp_plugin_list.txt -s 12 -M 30 -t 20 -o results.txt http://192.168.48.1/wordpress[/code]



























Una ves ejecutado dejaremos que teste unos segundos y poco a poco nos arrojara los Plugins instalados en dicho sitio web



























Entonces yo entrare al plugins videojs-html5-video-player-for-wordpress aver si encuentro algo de utilidad :


























hasta el momento todo normal, pero nos vota los directorios y archivos en dicho plugins, entonces lo que hare sera entrar al archivo " admin.php"


























Error encontrado listo para ser explotado , Saludos