* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PRs al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Usa [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) para construir y **automatizar flujos de trabajo** con las herramientas comunitarias más avanzadas del mundo.\
Los archivos de **temas se pueden encontrar en /wp-content/themes/**, por lo que si cambias algún archivo php del tema para obtener RCE, probablemente utilizarás esa ruta. Por ejemplo: Usando el **tema twentytwelve** puedes **acceder** al archivo **404.php** en: [**/wp-content/themes/twentytwelve/404.php**](http://10.11.1.234/wp-content/themes/twentytwelve/404.php)\
*`xmlrpc.php` es un archivo que representa una característica de WordPress que permite transmitir datos con HTTP actuando como mecanismo de transporte y XML como mecanismo de codificación. Este tipo de comunicación ha sido reemplazado por la [API REST](https://developer.wordpress.org/rest-api/reference) de WordPress.
* El archivo `wp-config.php` contiene información requerida por WordPress para conectarse a la base de datos, como el nombre de la base de datos, el host de la base de datos, el nombre de usuario y la contraseña, las claves de autenticación y las sales, y el prefijo de la tabla de la base de datos. Este archivo de configuración también se puede utilizar para activar el modo DEBUG, que puede ser útil para solucionar problemas.
Utiliza [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) para construir y **automatizar flujos de trabajo** utilizando las herramientas comunitarias más avanzadas del mundo.\
Probablemente no podrás encontrar todos los Plugins y Temas posibles. Para descubrir todos ellos, deberás **realizar un ataque de fuerza bruta activo a una lista de Plugins y Temas** (afortunadamente, existen herramientas automatizadas que contienen estas listas).
Si `xml-rpc.php` está activo, puedes realizar un ataque de fuerza bruta de credenciales o usarlo para lanzar ataques de denegación de servicio (puedes automatizar este proceso [usando esto](https://github.com/relarizky/wpxploit), por ejemplo).
**`wp.getUserBlogs`**, **`wp.getCategories`** o **`metaWeblog.getUsersBlogs`** son algunos de los métodos que se pueden utilizar para realizar una fuerza bruta de credenciales. Si puedes encontrar alguno de ellos, puedes enviar algo como:
Usando las credenciales correctas, puedes subir un archivo. En la respuesta, aparecerá la ruta ([https://gist.github.com/georgestephanis/5681982](https://gist.github.com/georgestephanis/5681982))
También hay una forma **más rápida** de forzar credenciales utilizando **`system.multicall`** ya que puedes probar varias credenciales en la misma solicitud:
Este método está destinado a programas y no a humanos, y es antiguo, por lo tanto no admite 2FA. Entonces, si tienes credenciales válidas pero la entrada principal está protegida por 2FA, **es posible que puedas abusar de xmlrpc.php para iniciar sesión con esas credenciales evitando el 2FA**. Ten en cuenta que no podrás realizar todas las acciones que puedes hacer a través de la consola, pero aún podrías lograr RCE como lo explica Ippsec en [https://www.youtube.com/watch?v=p8mIdm93mfw\&t=1130s](https://www.youtube.com/watch?v=p8mIdm93mfw\&t=1130s)
Esto se puede utilizar para pedirle a **miles** de sitios de Wordpress que **accedan** a una **ubicación** (causando un **DDoS** en esa ubicación) o puedes usarlo para hacer que **Wordpress****escanee** alguna **red** interna (puedes indicar cualquier puerto).
Cuando se **accede** a este archivo, se realiza una consulta MySQL "**pesada**", por lo que podría ser utilizado por **atacantes** para **causar** un **DoS**.\
Además, de forma predeterminada, el `wp-cron.php` se llama en cada carga de página (cada vez que un cliente solicita cualquier página de Wordpress), lo cual puede causar problemas en sitios con mucho tráfico (DoS).
Se recomienda desactivar Wp-Cron y crear una tarea cron real dentro del host que realice las acciones necesarias en un intervalo regular (sin causar problemas).
Intenta acceder a _https://sitio-de-wordpress.com/wp-json/oembed/1.0/proxy?url=ybdk28vjsa9yirr7og2lukt10s6ju8.burpcollaborator.net_ y el sitio de Wordpress puede hacer una solicitud hacia ti.
cmsmap -s http://www.domain.com -t 2 -a "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0"
wpscan --rua -e ap,at,tt,cb,dbe,u,m --url http://www.domain.com [--plugins-detection aggressive] --api-token <API_TOKEN> --passwords /usr/share/wordlists/external/SecLists/Passwords/probable-v2-top1575.txt #Brute force found users and search for vulnerabilities using a free API token (up 50 searchs)
#You can try to bruteforce the admin user using wpscan with "-U admin"
Utiliza [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) para construir y automatizar fácilmente flujos de trabajo impulsados por las herramientas comunitarias más avanzadas del mundo.\
Más que un ataque real, esto es una curiosidad. En el CTF [https://github.com/orangetw/My-CTF-Web-Challenges#one-bit-man](https://github.com/orangetw/My-CTF-Web-Challenges#one-bit-man) puedes cambiar 1 bit de cualquier archivo de WordPress. Por lo tanto, puedes cambiar la posición `5389` del archivo `/var/www/html/wp-includes/user.php` para anular la operación NOT (`!`).
Busque en internet cómo puede acceder a esa página actualizada. En este caso, debe acceder aquí: [http://10.11.1.234/wp-content/themes/twentytwelve/404.php](http://10.11.1.234/wp-content/themes/twentytwelve/404.php)
**(Esta parte está copiada de** [**https://www.hackingarticles.in/wordpress-reverse-shell/**](https://www.hackingarticles.in/wordpress-reverse-shell/)**)**
A veces, los usuarios con sesión iniciada no tienen autorización de escritura para realizar modificaciones en el tema de WordPress, por lo que elegimos "Inyectar plugin malicioso de WP" como una estrategia alternativa para obtener una web shell.
Entonces, una vez que tienes acceso a un panel de WordPress, puedes intentar instalar un plugin malicioso. Aquí ya he descargado el plugin vulnerable de exploit db.
Cuando todo esté bien configurado, procede a explotar. Dado que hemos instalado un plugin vulnerable llamado "reflex-gallery" y es fácilmente explotable.
Obtendrás el exploit para esta vulnerabilidad dentro del framework Metasploit y, por lo tanto, carga el siguiente módulo y ejecuta el siguiente comando:
Una vez que se ejecuten los comandos anteriores, tendrás tu sesión de meterpreter. Tal como se muestra en este artículo, hay múltiples métodos para explotar un sitio web basado en WordPress.
1. Inicia sesión en el panel de administración de WordPress con tus credenciales de administrador.
2. En el menú lateral, selecciona "Usuarios" y luego "Todos los usuarios".
3. Haz clic en el usuario "admin" para editar su perfil.
4. Desplázate hacia abajo hasta la sección "Cambiar contraseña".
5. Haz clic en el enlace "Generar contraseña" para que WordPress genere una contraseña segura automáticamente. Si prefieres establecer tu propia contraseña, puedes hacerlo marcando la casilla "Ocultar" y escribiendo la contraseña deseada.
6. Haz clic en el botón "Actualizar perfil" para guardar los cambios.
Asegúrese de que WordPress, los plugins y los temas estén actualizados. También confirme que la actualización automática está habilitada en wp-config.php:
Utiliza [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) para construir y **automatizar flujos de trabajo** fácilmente con las herramientas comunitarias más avanzadas del mundo.\
* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de Telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PRs al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
