Merhabalar, WPScan Kullanımı Kali Linux makalemizde sadece saldırı araçları içeren Kali Linux üzerinde yüklü gelen WPScan uygulamasını ele alacağız. Direkt olarak belirtelim ki bu uygulama hack için değil açıkları bulmak amacıyla kullanılır. Yani sizde bu uygulamayı kullanarak WordPress siteniz üzerinde ki açıkları tespit edebilir, buna göre önlemler alabilirsiniz.
Basit bir tanım ve ardından temel kodlara geçelim.
WPScan Nedir ?
Pek çok “penetration tools” gibi ruby diliyle yazılmış olan WPScan genel olarak WordPress web sitelerinin tema ve eklentilerinde ortaya çıkmış açıkları bulmaya yarar. Sistem sadece WordPress altyapı ile kurulmuş siteler için geçerlidir burası çokomelli 🙂 Bu yazılımı kullanmak için Kali Linux kurulu olmalıdır. Diğer Linux dağıtımlarından da seçebilirsiniz elbet fakat hazır olarak kurulu gelmesi Kali Linux adına büyük avantaj.
WPScan Kullanımı
Bildiğiniz üzere Kali Linux üzerinde çoğu yazılım için görsel bir arayüz söz konusu değil. Bundan dolayı burada kodlar paylaşacağız, bu kodları yazarak aradığınız şeyleri bulabileceğinizi düşünüyoruz. Bu arada kodları Shift + CTRL + C yaparak kopyalabilirsiniz. Kodlar arasında www.alanadi.com yazan kısmı hedef sitenizin adresi ile değiştiriniz.
Uygulamayı açar açmaz bir güncelleme yapın :
# wpscan –update
Uygulama kullanımı hakkında detaylı komutlar görmek ve yardım almak için:
# wpscan –h
Uygulamanın versiyonunu öğrenin, bulacağı açıklar bu versiyonla alakalıdır.
# wpscan –version
Hedef siteye genel bir tarama yapmak için:
# wpscan –url www.alanadi.com
Sitede yönetici, yazar, editor kim var kim yok kullanıcı adlarını öğrenmek için:
# wpscan –url www.alanadi.com –enumerate u
Site üzerinde ki tüm eklentileri görmek için:
# wpscan –url www.alanadi.com –enumerate p
Yine site üzerinde ki eklentileri tarayıp açıklarını bulmak için : (Tarama süresi daha uzun)
# wpscan –url www.alanadi.com –enumerate ap
Hali hazırda açık bulunduran eklentileri görebilmek için:
# wpscan –url www.alanadi.com –enumerate vp
Sitede kullanılan template, tema bilgisi için:
# wpscan –url www.alandi.com –enumerate t
Kullanılan tema üzerinde açıkları görebilmek için:
# wpscan –url www.alanadi.com –enumerate at
Kullanıcı adını bulduktan sonra şifre denemesi yapmak için (Brute Force):
# wpscan –url www.alanadi.com –wordlist wordlist.txt –username user
*Wordlist.txt dosyasını önceden hazırladığınızı varsayıyorum.
Son sözler & Faydalı Kaynaklar
Öncelikle Kali Linux konusunda kafanızda soru işaretleri oluşmuşsa ayrı bir konu olarak ilerleyen günlerde blog üzerinde ele alacağım, lâkin günlük kullanım için tasarlanmış bir işletim sistemi değildir. Aşağıda ki sayfadan indirebilirsiniz.
İndirdikten sonra kurulum adımları genel olarak kolaydır fakat USB üzerinden kurulum yapmak isterseniz USB ile Format Atmak (Rufus) makalemizden faydalanabilirsiniz.
Faydalı işlerde kullanmanız dileğiyle.