1.如何拿wordpress站点
先简介一下,
现在wp站点满地都是, 虽然都是个人博客, 但可利用的地方就很多了, 而且最主要的是, 进了wp后台就相当于得到了webshell!!
1) 很多大站的站长都会有个个人博客, 在通过数据库查到其密码后而目标站的密码已更改, 各种组合失败, 这时尝试一下个人博客, 有很大的几率是没有更改密码的.
2) 国内外极大部分的大牛们的博客都是wordpress架设的, 而且搞下大牛们的wp站也是装B的好方法. xD
3) wp站是旁注的入手点!!
4) 1337和exploit-db天天有人爆插件漏洞, 得手几率一直在上升, 而且插件都是开源的, 如果目标站的插件没有漏洞, 你也可以自己针对对方的插件自己挖洞 ;D
5) 因为wp的加密太高端, 我遇到的hash解密全部失败.. 很蛋疼.. 前两天看不记得在哪里看到有人说有wp的0day直接爆明文, 呃, 震惊了一下, 太扯了, 不过还是看了一下wp, 发现wp_users里还有个user_activation_key, 恩, 等下要讲一下这个的利用方法.
6) 因为我不再用wp了 xD 请大家支持国产 sa blog, typecho, emlog, z-blog, pjblog 等等 ^^
------接下来就开始详述拿wp方法了..------
1, 社工得到站长密码, 登陆仪表盘拿shell.
-这个方法的关键就在社工的地方, 如果得到了密码剩下就基本没问题了. [这里就不叙述社工的细节了, 太多了..]不过sinapp上的wordpress里主题和插件是不允许在线修改的, 所以还需要其他方式. [不过拿sinapp上的wp站也没什么用, 纯为装X就没有必要了. 或许会是某位大牛写了篇需要验证的文章, 而你需要去读这篇文章. 在从后台直接查看.]
-后台拿shell太简单, 就不说了.
3, 呃在补充一下第一条, 也不仅仅适用于wp, 有时确认了一个目标站站长的常用密码, 使用失败的情况下, 可以尝试一下ftp,ssh之类的地方, 查一查2级域名, bing一下域名, 惊喜总在不经意间来临.
4, 在就是插件漏洞了, 这个现在虽然不算很多, 但也一直在增长, 而且有一点是你可以针对目标站所使用的插件来研究一下. 当然, 使用人数多的插件基本都被很多人检测过了, 但有许多冷门插件用的人还是很多的.
-这里在来个tip吧, 在主页查看源文件, ctrl+f一下plugins, 跟在wp-content后面的, 在他后面的名字[可能是文件夹也可能是文件]就是一个插件, google一下肯定会得到. 而有些插件在首页是不调用的, 或许在comments页里, 或许在文章里等等, 需要自己去探索了.
-现在在说下插件有漏洞的情况下.
2.如何用Bootstrap制作WordPress主题
在我们开始前还有一点事情需要你去做:
安装WordPress
下载并解压缩 Bootstrap
安装主题测试驱动插件*
* 如果你想在一个线上的网站上创建一个主题并且不想在你开发的过程中让人们看到新主题,你正好需这个插件。
一旦你准备好这些事情,打开你带有WordPress所有文件的目录并导航至wp-content > themes。
在你导航至那个文件夹后,创建一个叫“wpbootstrap”的新文件夹,在文件夹里面粘贴bootstrap文件夹。
在那个文件夹里面创建一个新文件叫index.php。
现在我们将要把基本营销网站的源码拷贝并粘贴到index.php里面。下面是你所要用到的源码。我们仅链接了代码的一个文本版本,因为它太长了不能嵌入在这里。
bootstrap-demo-source-code
现在我们有了一个静态的html页面,我们将要继续去创建一个主css页面。WordPress需要一个显示在style.css页面顶部的特殊格式的注释,它使用这个注释来获得关于你这个主题的所有信息。
在你的index.php页面所在文件夹中创建一个新文件并命名为style.css,WordPress需要一个带有特定名称的CSS文件style.css,所以我们不将其命名为其它任何名称否则我们的主题将不能工作。
创建完了style.css文件,在文件头部添加注释:
/*
Theme Name: WP Bootstrap
Theme URI:
*/
在我们安装和开始构建我们新主题前,我们最后需要做的是上传一张将会在WordPress管理区显示我们主题的图片。这张图片需要为300*225像素并且要命名为“screenshot.png”,你可以用下面这张图片或做张你自己的。
你的文件夹结构现在看起来和下面的一样:
我们现在准备进入到控制面板安装我们的新主题。登录到控制面板并且到外观>;主题。可应该可以看到“WP Bootstrap”做为主题中的一个被列出来。
点击WP Bootstrap主题下面的激活设置它为网站的当前主题。
注意: 如果你正在使用一个线上的网站并且不想让人们看到这个主题正在开发中,确保安装并激活 Theme Test Drive plugin。
3.免费wordpress空间有吗
国外免费2G博客空间申请免备案
今天找到了一个免费的博客系统,国外免费2G博客空间申请免备案,带2G的空间,二级域名也很短*.blog.com,很好记,默认安装的wordpress博客系统,非常好,支持伪静态.大家可以来参观一下我注册的博客 ,访问速度很快的,比中文的博客好多了,现在百度博客经常会提示"由于违反空间协议,该空间已被限制访问或删除!" 经常莫名其妙把空间内容删除掉.
现在大家注册再多的短的二级域名也不怕被删空间了,比国内的百度,新浪,网易,搜狐,猫扑,中华网这几种博客强多了,这些博客经常删帖,管得比较严,我实在是用得受不了了.
blog.com 是世界顶级博客运营商,国外的博客注重个性化,blog.com是wordpress的官方博客,blog.com提供的博客都是用的wordpress系统,收录快.
现在介绍申请过程,现在好多域名都没有被人注册像 "张柏芝" 等都没有被人注册,大家快来呀,注册一个好的域名,是博客的基础,是无形资产,反正这些注册都是免费的.
1.申请过程:进入首页 Right here, right now, write away! 点击 Sign up (创建一个新博客)按纽,就可以开始创建过程了
2.填写email的时候需要填写有效的Email地址,需要验证email的,创建用户完成之后,就可以申请博客了,一个用户可以注册几个博客,十个都可以.
3.博客的后台登录地址是 呢(伪静态设置呢)?
后台选择 Settings --> Permalinks -->
会出现 Permalink Settings 页面, --> Common settings (自定义选择) -->Custom Structure 填上 [/xxx/%post_id%.html ] [里面的内容为要填上的内容]
再选择 Save Changes 就完成伪静态的设置了
国外免费2G博客申请免备案 来自喜宝网
至于blog.com博客系统有一个广告,这个问题要解决的话,只有选择后台的 Upgrades -->Disable Ads / Custom Ads 这需要支付30美金了
如果您需要建十个博客以上,都是显示自己的广告,那可以去支付这些美金,如果觉得那里面的那个google AD 不影响,也无所谓.
个人觉得那个广告无所谓.等到自己的流量做过来了,再去支付那些美金吧. 还可以绑定顶域名!
转载请注明出处51数据库 » wordpresssahifa