¡Muy bien explicado, Xero (como siempre)! Como aporte adicional (posiblemente ya lo sepas, pero por si alguien más está leyendo): WPScan, por defecto, para enumerar plugins, usa una combinación de detección activa y un poco de fuerza bruta. Esta fuerza bruta es muy pequeña, pero añadiendo un parámetro adicional enumerará los plugins de manera activa (fuerza bruta), de esta manera lo más posible es que sí detecte los plugins. ¡Gracias por compartir y enhorabuena por pedazo vídeo! 🎉
¡Buah muchísimas gracias por tremendo aporte RiJaba! Tienes toda la razón y es un método que se me pasó cuando preparé el vídeo. Te destaco el comentario porque seguro que le es de utilidad a mucha gente 😉
Hola estimado xerosec, me encanta tus videos, también me he hecho casi todas las máquinas que has hecho jajaja, quería preguntarte si recomiendas alguna herramienta que no fuese WPscan para el protocolo XMLRPC? Como ataques de fuerza bruta para la password cuando tienes un usuario valido.
¡Buenas Simón! Ante todo decirte que me alegra mucho que sirva el contenido y muchas gracias por comentarlo :)) Repecto a la pregunta; yo diría que wpscan es la mejor herramienta automatizada para ese tipo de ataques pero si quieres puedes echarle un vistazo a la entrada de hacktricks en ella se habla de cómo hacerlo de forma manual y es bastante interesante -> book.hacktricks.xyz/network-services-pentesting/pentesting-web/wordpress#xml-rpc ¡Un saludo!
¿Has probado a actualizar los repositorios de apt con 'apt update'? Si es que sí la verdad es que no sé dónde estará el problema pero siempre puedes clonarte el repositorio de GitHub 😉
@@xerosec si tio, que raro bueno lo mirare en github.otra cosa un pequeño inciso en wpscan no has comentado que si te registras en la web y obtienes el token a la hora de lanzar el escaneo es mucho mas completo y descubre muchos mas plugins etc, imagino que lo hacen a posta para tener una base de datos de usuarios o vete a saber . Muchas gracias por el video y contestar
Aunque el gestor de paquetes sea el mismo (APT), los repositorios de los que tira Parrot son diferentes, te va a tocar instalarlo a mano por desgracia :(
![RFI (Remote File Inclusion) [Vulnerabilidades web] | Demostración práctica | Hacking ético](http://i.ytimg.com/vi/w5-MZoX27YM/mqdefault.jpg)
¡Muy bien explicado, Xero (como siempre)! Como aporte adicional (posiblemente ya lo sepas, pero por si alguien más está leyendo): WPScan, por defecto, para enumerar plugins, usa una combinación de detección activa y un poco de fuerza bruta. Esta fuerza bruta es muy pequeña, pero añadiendo un parámetro adicional enumerará los plugins de manera activa (fuerza bruta), de esta manera lo más posible es que sí detecte los plugins.
¡Gracias por compartir y enhorabuena por pedazo vídeo! 🎉
¡Buah muchísimas gracias por tremendo aporte RiJaba! Tienes toda la razón y es un método que se me pasó cuando preparé el vídeo. Te destaco el comentario porque seguro que le es de utilidad a mucha gente 😉
Gracias por la extraordinaria labor que realizas.
¡Gracias a tí por tremendo comentario! 😉
Gracias por enseñarnos 🙏
¡Gracias a tí siempre por el apoyo Jesssss!
Hola estimado xerosec, me encanta tus videos, también me he hecho casi todas las máquinas que has hecho jajaja, quería preguntarte si recomiendas alguna herramienta que no fuese WPscan para el protocolo XMLRPC? Como ataques de fuerza bruta para la password cuando tienes un usuario valido.
¡Buenas Simón! Ante todo decirte que me alegra mucho que sirva el contenido y muchas gracias por comentarlo :))
Repecto a la pregunta; yo diría que wpscan es la mejor herramienta automatizada para ese tipo de ataques pero si quieres puedes echarle un vistazo a la entrada de hacktricks en ella se habla de cómo hacerlo de forma manual y es bastante interesante -> book.hacktricks.xyz/network-services-pentesting/pentesting-web/wordpress#xml-rpc
¡Un saludo!
@@xerosec Muchas gracias estimado, un saludo y espero tus próximoa vídeos. 🙌
Más enumeración de wordpress capo
No se ha podido localizar el paquete nuclei. Esta en algún otro repositorio?
¿Has probado a actualizar los repositorios de apt con 'apt update'? Si es que sí la verdad es que no sé dónde estará el problema pero siempre puedes clonarte el repositorio de GitHub 😉
@@xerosec si tio, que raro bueno lo mirare en github.otra cosa un pequeño inciso en wpscan no has comentado que si te registras en la web y obtienes el token a la hora de lanzar el escaneo es mucho mas completo y descubre muchos mas plugins etc, imagino que lo hacen a posta para tener una base de datos de usuarios o vete a saber . Muchas gracias por el video y contestar
Segundo !
Alguien mas tuvo error al instalar nuclei en parrot con el entorno de s4vitar ?
Aunque el gestor de paquetes sea el mismo (APT), los repositorios de los que tira Parrot son diferentes, te va a tocar instalarlo a mano por desgracia :(
@@xerosec lo hice y me dió un error con GROOT 🥴
primero :3 saludos