近幾天wordpress社區的小夥伴們反映遭到了利用xmlrpc.php進行暴力破解的攻擊。利用xmlrpc.php提供的介面嘗試猜解用戶的密碼,可以繞過wordpress對暴力破解的限制。已經發現了大規模的利用,啟用了xmlrpc的同學需要儘快修復。安裝或者升級Login Security Solutin插件
通常wordpress登錄介面都是做了防暴力破解防護的,比如freebuf的登錄只能有嘗試5次。
這種利用xmlrpc.php的攻擊可以繞過這些限制。攻擊的方式直接POST以下數據到xmlrpc.php.
<?xml version="1.0" encoding="iso-8859-1"?> <methodCall> <methodName>wp.getUsersBlogs</methodName> <params> <param><value>username</value></param> <param><value>password</value></param> </params> </methodCall>
其中username欄位是預先收集的用戶名。password是嘗試的密碼。關於getUsersBlogs介面的更多信息可以參考官方的指南。如果密碼正確,返回為:
密碼錯誤返回為403:
使用intruder進行測試,發現服務端沒有進行限制。
[Freebuf:感謝子夏,freebuf已第一時間修復該問題]