ブルートフォースアタックとは、”総当り”です。
確率の高いパスワードのリストがあって、それをそれぞれ当てはめていく感じです。

今回はそれをwordpressサイトのパスワード特定のために使ってみます。

ユーザー名を特定する

まず、ユーザー名を特定しなければなりません。
しかし、これはとても簡単です。

wpscan -u sorerori.com --enumerate u

このコマンドだけでユーザー名がリストで出力されます。

パスワードを特定する

ユーザー名がわかったら、それとハッシュの関係になっているパスワードを特定します。
ここで、ブルートフォースアタックの出番です。

wpscan -u sorerori.com --username hoge --wordlist ~/dev.txt

このコマンドでしばらく待っていれば、パスワードがあればパスワードを、なければ空白を返します。

■ブルートフォースアタックはサーバーに負荷を与えます。過度にやらないようにしましょう。

今回の手法は、こちらを参考にしました。
https://www.youtube.com/watch?v=9tLUbsdNX88