HackfutSec/wordpress-and-joomla-brute-force

# 🚀 CMS BruteForce PRO - 终极安全扫描器    

## 🌟 概述 **CMS BruteForce PRO** 是一款专为渗透测试人员和安全研究人员设计的高级网络安全工具。这款强大的应用程序会自动检测目标网站是否使用 **Joomla** 或 **WordPress**，并利用先进的枚举功能发起相应的暴力破解攻击。 该工具由 **HackFutSec** 开发，结合了尖端技术与时髦的赛博朋克主题界面，带来极致的安全评估体验。 ## 🎯 功能特性 ### 🔍 智能 CMS 检测 - **自动 CMS 识别** - 通过版本检测识别 Joomla 与 WordPress - **批量目标处理** - 扫描多个 URL 并自动进行 CMS 分类 - **版本指纹识别** - 识别 CMS 版本以进行漏洞评估 ### ⚡ 高级攻击向量 #### 针对 Joomla： - 通过多种方法进行用户枚举（JSON API、HTML 解析、元数据） - 管理员路径检测与利用 - CSRF token 处理与 Session 管理 - 高级响应分析用于登录验证 #### 针对 WordPress： - REST API 用户枚举 - 作者站点地图与 Feed 分析 - 通过登录响应用户存在性测试 - WP-JSON 端点利用 ### 🎨 赛博朋克风格 GUI - **透明玻璃拟态设计** 配合动画背景 - **实时日志记录** 配合彩色输出 - **进度追踪** 配合动画进度条 - **多标签界面** 用于单个和批量目标操作 ### 🔧 技术能力 - **多线程攻击**（可配置线程数） - **代理支持** 具备轮换功能 - **自定义请求间延迟设置** - **基于用户名和域名的自动密码生成** - **全面的字典管理** ## 🛠️ 安装说明 ### 前置条件 ``` # 适用于 Debian/Ubuntu sudo apt-get update sudo apt-get install python3-pip python3-tk # 适用于 Windows # 从 python.org 安装 Python 3.8+ ``` ### 安装依赖 ``` pip install requests beautifulsoup4 tqdm pyqt5 ``` ### 克隆与运行 ``` git clone https://github.com/HackFutSec/CMS-BruteForce-PRO.git cd CMS-BruteForce-PRO python3 cms_bruteforce.py ``` ## 🎮 使用方法 ### 单一目标模式 1. 在“Target URL”字段中输入目标 URL 2. 配置用户名选项： - 手动输入用户名 - 导入用户列表文件 - 自动用户发现（推荐） 3. 设置密码选项： - 默认密码列表 - 自定义字典 - 结合域名的自动密码生成 4. 调整高级设置（代理、延迟、线程） 5. 点击“Start Attack” ### 批量目标模式 1. 从文本文件加载 URL 列表 2. 配置全局攻击参数 3. 设置用户枚举偏好 4. 启动批量扫描 - 工具将自动： - 检测每个 URL 的 CMS - 应用相应的攻击方法 - 分别保存结果 ### 设置配置 - **代理设置**：配置 HTTP 代理以实现匿名性 - **User Agents**：轮换 User Agents 以避免被检测 - **超时设置**：调整请求超时时间 - **线程管理**：控制并发连接数 ## 📊 输出与结果 ### 成功指示器 - ✅ **完全访问**：已获取管理员权限 - 🔓 **受限访问**：仅限用户配置文件访问 - 📝 **凭据已保存**：自动导出到文件 ### 导出文件 - `joooAccess.txt` - Joomla 管理员凭据 - `fullaccess.txt` - 完全访问凭据（两种 CMS） - `limitaccess.txt` - 受限访问凭据 - `password_reset_success.txt` - 成功重置的密码 ## ⚡ 高级功能 ### 智能密码生成 ``` # 基于以下内容生成密码： - Username variations (admin, admin123, Admin123!, etc.) - Domain patterns (example, example123, example2023) - Common password patterns with special characters - Sequential numbers and years - Custom character combinations ``` ### 用户枚举技术 ``` # Joomla： - com_users component exploitation - JSON API endpoint analysis - Metadata extraction - Author information parsing # WordPress： - WP-JSON API user discovery - Author sitemap analysis - RSS feed extraction - Login response analysis ``` ## 🛡️ 法律与合规使用 **⚠️ 重要免责声明：** 本工具设计用于： - 授权的渗透测试 - 安全研究与教育 - 经许可的漏洞评估 - 网络安全培训演练 **🚫 严禁非法使用本工具。** 开发者不对本软件的滥用承担任何责任。在测试任何系统之前，请务必获得适当的授权。 ## 🌐 联系 HackFutSec

## 📝 更新日志 ### v2.0 - 当前版本 - ✅ 结合了 Joomla 与 WordPress 功能 - ✅ 自动 CMS 检测系统 - ✅ 增强的赛博朋克 GUI 主题 - ✅ 改进的用户枚举算法 - ✅ 高级密码生成引擎 - ✅ 多线程优化 ### v1.5 - 旧版本 - ✅ 初始 Joomla 暴力破解实现 - ✅ 基础 GUI 界面 - ✅ 用户发现功能 - ✅ 字典管理 ## 🐛 Bug 报告与功能请求 发现 Bug 或有功能建议？请在 GitHub 上开启一个 Issue： 1. 检查现有 Issues 以避免重复 2. 提供问题的详细描述 3. 包含复现步骤 4. 如适用，添加截图 5. 注明您的环境（操作系统、Python 版本） ## 📜 许可证 本项目采用 MIT 许可证授权 - 详见 [LICENSE.md](LICENSE.md) 文件。 ## 🙏 致谢 - 持续进行研究的网络安全社区 - 启发本工具的开源项目 - 帮助完善功能的 Beta 测试人员 - 提交改进的贡献者

“知识就是力量。请负责任地使用它。” - HackFutSec

⭐ 如果您觉得有用，别忘了给本仓库点个 Star！ ⭐

**🔒 牢记：** 始终在合规且有适当授权的情况下进行安全测试。目标是提升安全性，而非破坏它。

标签：C2日志可视化, CMS漏洞扫描, Joomla安全, Kali工具, PoC, PyQt5界面, Python开发, Splunk, Web安全, WordPress安全, 加密文件系统, 反取证, 域名侦查, 多线程扫描, 安全评估, 密码攻击, 指纹识别, 操作系统监控, 攻击路径可视化, 暴力破解, 用户枚举, 网络安全, 自动化攻击, 蓝队分析, 逆向工具, 隐私保护, 黑客工具