Algo que siempre he criticado en la seguridad de WordPress es que este permite saber si un usuario existe o no mediante el acceso de /wp-admin. Tecleando un usuario y una contraseña se nos permitirá saber que usuarios están registrados en la base de datos, ejemplo:

Intento de acceso con usuario inexistente en la base de datos
Intento de acceso con usuario inexistente en la base de datos
WP anuncia que el usuario existe en la base de datos
WP anuncia que el usuario existe en la base de datos

Obviamente nadie en su sano juicio pasaría todo el día probando usuarios para hacerse con un listado, seria una tarea muy ineficiente y extremadamente tediosa.

0verl0ad.com ha creado un script llamado Dumbo.pl que permite cepillar la base de datos en búsqueda de usuarios, y cito textual al autor en referencia a este:

Dumb0.pl es un script bastante sucio que te permite extraer los usuarios de varios foros (SMF, vBulletin, myBB, Invision Powerboard, etc.) de forma bastante simple y rápida. Se puede editar el mil maneras para mejorarlo, y añadir más foros/CMS donde usarla, pero eso ya os lo dejo a vosotros (si haceis alguna modificación, avisad y lo añado al source).

Así que manos a la obra y probemos Dumb0.pl

Comenzando el dumpeo
Comenzando el dumpeo
Cepillado la base de datos
Cepillado la base de datos
Podemos comprobar que el usuario existe
Podemos comprobar que el usuario existe

Así podríamos cepillar todo el listado de usuarios de un sitio web montando en WordPress.

Entrada oficial: http://blog.0verl0ad.com/2014/02/dumb0pl-herramienta-para-extraer.html

Descarga: https://github.com/0verl0ad/Dumb0/blob/master/Dumb0.pl

Saludos.

Anuncios