XML-RPC缩小攻打：针对WordPress的“暴力美学”

暴力猜解攻打是咱们至今为止在互联网上看到的最古老而常见的攻打之一。黑客能够经由SSH和FTP协定，暴力猜解攻打你的web服务器。

传统暴力猜解攻打

这些攻打一般都不是很复杂，而且理论上是比较容易停止的。但是，它们仍然拥有存在的价值，因为人们并不习惯采用强暗码，而且不是每个人都拥有良好的登录习惯。

然而可惜的是，暴力猜解攻打有个致命的弱点。通常来说，假如黑客须要实验500个差别的暗码，他将实验发送500次差别的请求到服务器上。经由限制登录次数，能够在一定层面上停止暴力猜解攻打。

缩小型暴力猜解攻打

黑客能够减少攻打次数么，他们能否一次请求，就能执行多次登陆实验?请想象一下，假如你一次攻打请求能实验500个暗码，那么登录次数限制神马的，不都是战斗力5的渣渣了?

这种手法有点类似于咱们以前的DDoS缩小攻打，一个核心指挥服务器，能够利用DNS或许NTP协定回应执行缩小攻打，增加原本攻打强度50-100倍。无论是任何类型的缩小型攻打，都将让黑客倍加受益。

经由wordpress XML-RPC执行暴力猜解缩小攻打

XML-RPC的隐藏特性之一，则是你能够应用system.multicall方式，在单个请求中执行多次实验，这是非常有用的。它允许应用程序经由一条HTTP请求，执行多个命令。

XML-RPC是一个经由HTTP方式执行远程调用的，非常简单易用的玩意儿。它支持Perl、Java、Python、C、C++、PHP，以及很多其余编程语言。wordpress和Drupal，以及很多其余内容管理系统都支持XML-RPC。

当然，任何好的技术都是双刃剑。在XML-RPC技术被普通程序开发者所喜爱的同时，也成了黑客手中的利器。

咱们跟踪有关XML-RPC的攻打好几个星期了，第一次在网络上发明案例是在2015年9月10日，类似的攻打有愈演愈烈的趋势。与以前黑客热衷于wp-login.php差别，这个文件很容易被登录保护，或许.htaccess给ban掉。黑客实验利用system.multicall方式，试图在一个请求里包括数百次攻打。你能够想象一下，你在查看日志的时候，一个条目就包括如此多实验的样子。

194.150.168.95 – – [07/Oct/2015:23:54:12 -0400] “POST /xmlrpc.php HTTP/1.1″ 200 14204 “-” “Mozilla/5.0 (windows; U; WinNT4.0; de-DE; rv:1.7.5) Gecko/20041108 Firefox/1

光看这个，你看的出来这是调用了数百次暗码猜解的攻打么?黑客能够经由它们绕过安全检测，执行暴力实验。

wp.getCategories方式攻打

咱们在网络上还发明了wp.getCategories方式，这要求用户名和暗码，请求效果如下：

system.multicall methodNamewp.getCategories params admindemo123 .. methodNamewp.getCategories params admin site.com …

wordpress(xmlrpc)会响应是否有成功的用户名暗码组合。

在上面这个例子中，黑客实验了admin/demo123和admin/site.com的组合，响应包如下：

[{‘faultCode': 403, ‘faultString': ‘Incorrect username or password.‘}, {‘faultCode': 403, ‘faultString': ‘Incorrect username or password.‘}, {‘faultCode': 403, ‘faultString': ‘Incorrect username or password.'}, {‘faultCode': 403, ‘faultString': ‘Incorrect username or password.'}, {‘faultCode': 403, ‘faultString': … [[{‘url': ‘https://site.com/wordpress/', ‘isAdmin': True, ‘blogid': ‘1', ‘xmlrpc': ‘https://site.com/wordpress/xmlrpc.php', ‘blogName': ‘wpxxx'}]]]

这里咱们应用的是wp.getCategories方式执行攻打实验，其余须要认证的方式也能够这样用。所以ban掉wp.getCategories对阻止同类攻打，并没有太大用处。下面是须要身份认证的方式列表：

wp.getUsersBlogs, wp.newPost, wp.editPost, wp.deletePost, wp.getPost, wp.getPosts, wp.newTerm, wp.editTerm, wp.deleteTerm, wp.getTerm, wp.getTerms, wp.getTaxonomy, wp.getTaxonomies, wp.getUser, wp.getUsers, wp.getProfile, wp.editProfile, wp.getPage, wp.getPages, wp.newPage, wp.deletePage, wp.editPage, wp.getPageList, wp.getAuthors, wp.getTags, wp.newCategory, wp.deleteCategory, wp.suggestCategories, wp.getComment, wp.getComments, wp.deleteComment, wp.editComment, wp.newComment, wp.getCommentStatusList, wp.getCommentCount, wp.getPostStatusList, wp.getPageStatusList, wp.getPageTemplates, wp.getOptions, wp.setOptions, wp.getMediaItem, wp.getMediaLibrary, wp.getPostFormats, wp.getPostType, wp.getPostTypes, wp.getRevisions, wp.restoreRevision, blogger.getUsersBlogs, blogger.getUserInfo, blogger.getPost, blogger.getRecentPosts, blogger.newPost, blogger.editPost, blogger.deletePost, mw.newPost, mw.editPost, mw.getPost, mw.getRecentPosts, mw.getCategories, mw.newMediaObject, mt.getRecentPostTitles, mt.getPostCategories, mt.setPostCategories

下面的图是针对XML-RPC的system.multicall方式，专门用于暴力猜解攻打的样例。每个请求都能够承载数百次暴力猜解攻打，图中的数字能让你欣赏感受下暴力美学：

假如你是一名wordpress站长，并且没有应用依赖xmlrpc.php文件的插件，你能够重命名或许删除这个文件来防御攻打。但假如你正在应用如JetPack之类的插件，ban掉这个文件可能会让你的网站功能异常。

【编辑推荐】

转载自:https://netsecurity.51cto.com/art/201510/493755.htm

声明: 除非转自他站（如有侵权，请联系处理）外，本文采用 BY-NC-SA 协议进行授权 | 智乐兔
转载请注明：转自《XML-RPC缩小攻打：针对WordPress的“暴力美学”》
本文地址：https://www.zhiletu.com/archives-4902.html
关注公众号：