在做一个靶机时需要用到wpscan,然后以前学习wp漏洞的时候也有看过,但是没有强制性需要,就没管了,所以这次就想着必须给解决掉。ps:这个解决了,靶机wp马上就出来了
在网上百度了一大堆方法都不行,不行的原因都是一个,就是那个http://blog.dsb.ink/wpscan这个链接失效了,最后终于找到一篇搞好了,我是用的最新的2020.2的kali的wpscan(3.8.1)。如果file.dsb.ink这个链接也失效了,可以找我要这个文件。
目录
一、直接修改配置文件
二、下载包到本地,再修改配置文件
三、shell文件一步安装
四、报错
五、新版wpscan使用时的一些注意事项
一、直接修改配置文件
1、需要找到你数据库更新指定的文件
dpkg -L wpscan| grep updater
2、编辑
vim /usr/share/rubygems-integration/all/gems/wpscan-3.8.1/lib/wpscan/db/updater.rb
3、修改
将原来指定更新数据库指定的链接改了,修改的地方在第81行
4、保存退出,执行命令wpscan --update,成功更新
二、下载包到本地,再修改配置文件
这里需要用到web服务器,随便你自己用什么做,我这里是用的kali自带的apache2
1、开启apache2服务并进入到apache2的根目录下
service apache2 start
cd /var/www/html
2、下载包并解压
wget http://file.dsb.ink/wpscan/wp.zip
unzip wp.zip
3、修改配置文件
vim /usr/share/rubygems-integration/all/gems/wpscan-3.8.1/lib/wpscan/db/updater.rb
将81行改成下面这样
保存退出,执行更新,也是可以的,这种方法虽然麻烦,但是也有好处,就是当这个链接再次不能使用的时候也没关系了,因为这个包已经被我们部署在本地了。
三、shell文件一步安装
这个文件的内容其实就是将我们刚刚的那些操作和命令全部整合到一起了
1、本地新建一个shell文件,给执行权限,这里涉及到给权限,所以建议使用root用户
vim update.sh
#****************内容*****************
sed -i -e "s/https:\/\/data.wpscan.org/http:\/\/127.0.0.1\/wpscan/" `dpkg -L wpscan | grep updater.rb`
service apache2 start
cd /var/www/html
wget http://file.dsb.ink/wpscan/wp.zip
unzip wp.zip
wpscan --update
#***************臭nana****************
chmod +x update.sh
./update.sh
2、效果
3、看看配置文件,和/var/www/html目录,都自动改成了我们之前需要手动设置的目录
四、报错
参考博客:https://blog.csdn.net/zhang644720213/article/details/92849717
网上文章都是用的blog.dsb.ink这个,就连这个博客也是的,但是这个博主是把下下来的资源是放到了应该是他自己的服务器上面----file.dsb.ink,然后如果这个再没了,可以找我发你
2018的kali的wpscan(3.3.1)没有成功,会报下面的错误
五、新版wpscan使用时的一些注意事项
注意:使用新版wpscan需要使用官方的api-token,这个可以自己注册一个免费的账号。
扫描的时候加上
--api-token xxxxxxxxxxxx
贴一些wpscan常见的参数
--url www.xxx.com
--enumerate p #扫描插件基本信息
--enumerate vp #扫描容易受攻击的插件
--enumerate ap #扫描所有插件
--enumerate u #暴力枚举用户名
-P password.dict -U admin #通过用户名爆破密码
--help
--random-agent 有些网站需要带着浏览器头访问
最后放两张扫描靶机的图
转播
