Obtener usuarios de WordPress


Algo que siempre he criticado en la seguridad de WordPress es que este permite saber si un usuario existe o no mediante el acceso de /wp-admin. Tecleando un usuario y una contraseña se nos permitirá saber que usuarios están registrados en la base de datos, ejemplo:

Intento de acceso con usuario inexistente en la base de datos

Intento de acceso con usuario inexistente en la base de datos

WP anuncia que el usuario existe en la base de datos

WP anuncia que el usuario existe en la base de datos

Obviamente nadie en su sano juicio pasaría todo el día probando usuarios para hacerse con un listado, seria una tarea muy ineficiente y extremadamente tediosa.

0verl0ad.com ha creado un script llamado Dumbo.pl que permite cepillar la base de datos en búsqueda de usuarios, y cito textual al autor en referencia a este:

Dumb0.pl es un script bastante sucio que te permite extraer los usuarios de varios foros (SMF, vBulletin, myBB, Invision Powerboard, etc.) de forma bastante simple y rápida. Se puede editar el mil maneras para mejorarlo, y añadir más foros/CMS donde usarla, pero eso ya os lo dejo a vosotros (si haceis alguna modificación, avisad y lo añado al source).

Así que manos a la obra y probemos Dumb0.pl

Comenzando el dumpeo

Comenzando el dumpeo

Cepillado la base de datos

Cepillado la base de datos

Podemos comprobar que el usuario existe

Podemos comprobar que el usuario existe

Así podríamos cepillar todo el listado de usuarios de un sitio web montando en WordPress.

Entrada oficial: http://blog.0verl0ad.com/2014/02/dumb0pl-herramienta-para-extraer.html

Descarga: https://github.com/0verl0ad/Dumb0/blob/master/Dumb0.pl

Saludos.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s