作者:0x_Jin

是不是wordpress站太多了 一个个X X不过来?
是不是通宵X站X的想吐?那赶快node一下吧,只需要指定一个攻击目标的列表就好了。

ps:此程序中最需要优化的部分就是如何去取得文章的URL,目前只从首页以及rss取,由于wordpress模板太乱导致很多取不到就无法XSS,大家可以提出更多方法去取文章URL 然后来修改下。
JS的功能:

添加管理员,GETSHELL(不再是之前的DEMO 抛砖引玉版 是真正实战能用的版本),getshell包括getshell当前模板以及全部模板(建议开启getshell全部模板,因为拿下几个shell发现很多当前模板不能编辑)
wp-exp.js功能:

读取txt中每一行的内容去请求,从返回中解析文章的url,如果不是默认的那么便从rss中读取。
读取出文章url后,自动获得表单,并提交xss代码。
xss代码能覆盖掉页面百分之80的内容,触发面积更大:
2014120418194478828
程序运行时:
2014120418201517472
触发XSS后:
2014120418211159116
运行环境:

node.js

如何使用?

使用方法: node wp-exp.js [options]

Options:

--help 显示程序的帮助信息

--version 显示程序的版本信息

< 程 序 主 选 项 >

--f 要发送XSS Payload的主机列表

--j JS脚本地址 如: //xss1.com

妈妈再也不用担心我一个个X站X的手发软了~

下载地址:

wordpress-XSS