Obtener usuarios de Wordpress

Algo que siempre he criticado en la seguridad de Wordpress es que este permite saber si un usuario existe o no mediante el acceso de /wp-admin. Tecleando un usuario y una contraseña se nos permitirá saber que usuarios están registrados en la base de datos, ejemplo:

[caption id="attachment_1235" align="aligncenter" width="232"]Intento de acceso con usuario inexistente en la base de datos Intento de acceso con usuario inexistente en la base de datos[/caption]

[caption id="attachment_1236" align="aligncenter" width="220"]WP anuncia que el usuario existe en la base de datos WP anuncia que el usuario existe en la base de datos[/caption]

Obviamente nadie en su sano juicio pasaría todo el día probando usuarios para hacerse con un listado, seria una tarea muy ineficiente y extremadamente tediosa.

0verl0ad.com ha creado un script llamado Dumbo.pl que permite cepillar la base de datos en búsqueda de usuarios, y cito textual al autor en referencia a este:

Dumb0.pl es un script bastante sucio que te permite extraer los usuarios de varios foros (SMF, vBulletin, myBB, Invision Powerboard, etc.) de forma bastante simple y rápida. Se puede editar el mil maneras para mejorarlo, y añadir más foros/CMS donde usarla, pero eso ya os lo dejo a vosotros (si haceis alguna modificación, avisad y lo añado al source).




Así que manos a la obra y probemos Dumb0.pl

[caption id="attachment_1237" align="aligncenter" width="700"]Comenzando el dumpeo Comenzando el dumpeo[/caption]

[caption id="attachment_1238" align="aligncenter" width="700"]Cepillado la base de datos Cepillado la base de datos[/caption]

[caption id="attachment_1239" align="aligncenter" width="350"]Podemos comprobar que el usuario existe Podemos comprobar que el usuario existe[/caption]

Así podríamos cepillar todo el listado de usuarios de un sitio web montando en Wordpress.

Entrada oficial: http://blog.0verl0ad.com/2014/02/dumb0pl-herramienta-para-extraer.html

Descarga: https://github.com/0verl0ad/Dumb0/blob/master/Dumb0.pl

Saludos.

0 comentarios:

Publicar un comentario