wordpress로 만들어진 사이트를 점검할 때 기본적으로 점검해보는 취약점이다. 해당 취약점으로 할 수 있는 공격은 DOS, Brute Force 두 개 정도이다. 1. 점검방법 https://점검사이트/xmlrpc.php https://점검사이트/wordpress/xmlrpc.php 간단하게 위의 url을 날려보았을때 요런식으로 response 가 나온다면 해당 취약점이 있다고 볼 수 있다. 2. 취약점 잡기 버프에서 잡고 POST로 바꾼다음 아래 내용을 붙여넣고 보내면 된다. system.listMethods 사용 가능한 메소드 리스트를 보여주는 코드이다. - Burte force wp.getUsersBlogs admin password 아이디 값을 안다면 brute force로 뚫을 수 있게 된다..

1. Mermaid란? diagram을 마치 마크다운처럼 편한 문법으로 그릴 수 있도록 해주는 tool이다. 예를 들어 graph TD; A-->B; A-->C; B-->D; C-->D; 이런식으로 찍히고 sequenceDiagram Alice->>Bob: Hi Bob Bob->>Alice: Hi Alice 이런식으로 response에 출력된다. 2. Mermaid로 DOS 공격하기 a. 우선 Mermaid가 작동되는 페이지를 찾는다. (HTML모드) b. 다음과 같은 코드를 작성한다. graph TD; A-->B;B-->A;A-->B;B-->A;A-->B;B-->A;A-->B;B-->A;A-->B;B-->A;A-->B;B-->A;A-->B;B-->A;A-->B;B -->A;A-->B;B-->A;A-->..