Translated ['network-services-pentesting/pentesting-web/wordpress.md'] t

2024-11-22 20:53:37 +00:00 · 2024-08-17 12:51:05 +00:00 · 2024-08-17 12:51:05 +00:00 · 4c69bd0310
commit 4c69bd0310
parent 475c54e4f7
1 changed files with 71 additions and 32 deletions
--- a/network-services-pentesting/pentesting-web/wordpress.md
+++ b/network-services-pentesting/pentesting-web/wordpress.md
@ -1,8 +1,8 @@
 # Wordpress

 {% hint style="success" %}
-Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
-Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
+Learn & practice AWS Hacking:<img src="../../.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../../.gitbook/assets/arte.png" alt="" data-size="line">\
+Learn & practice GCP Hacking: <img src="../../.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="../../.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

 <details>

@ -14,12 +14,11 @@ Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-s

 </details>
 {% endhint %}
-{% endhint %}

 <figure><img src="../../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>

 \
-Use [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=wordpress) to easily build and **automate workflows** powered by the world's **most advanced** community tools.\
+Use [**Trickest**](https://trickest.com/?utm\_source=hacktricks\&utm\_medium=text\&utm\_campaign=ppc\&utm\_term=trickest\&utm\_content=wordpress) to easily build and **automate workflows** powered by the world's **most advanced** community tools.\
 Get Access Today:

 {% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=wordpress" %}
@ -27,32 +26,32 @@ Get Access Today:
 ## Basic Information

 **Uploaded** files go to: `http://10.10.10.10/wp-content/uploads/2018/08/a.txt`\
-**Teme se mogu naći u /wp-content/themes/,** tako da ako promenite neki php fajl teme da biste dobili RCE, verovatno ćete koristiti taj put. Na primer: Koristeći **temu twentytwelve** možete **pristupiti** **404.php** fajlu u: [**/wp-content/themes/twentytwelve/404.php**](http://10.11.1.234/wp-content/themes/twentytwelve/404.php)\
-**Još jedan koristan url može biti:** [**/wp-content/themes/default/404.php**](http://10.11.1.234/wp-content/themes/twentytwelve/404.php)
+**Themes files can be found in /wp-content/themes/,** so if you change some php of the theme to get RCE you probably will use that path. For example: Using **theme twentytwelve** you can **access** the **404.php** file in: [**/wp-content/themes/twentytwelve/404.php**](http://10.11.1.234/wp-content/themes/twentytwelve/404.php)\
+**Another useful url could be:** [**/wp-content/themes/default/404.php**](http://10.11.1.234/wp-content/themes/twentytwelve/404.php)

-U **wp-config.php** možete pronaći root lozinku baze podataka.
+In **wp-config.php** you can find the root password of the database.

-Podrazumevani putanje za prijavu koje treba proveriti: _**/wp-login.php, /wp-login/, /wp-admin/, /wp-admin.php, /login/**_
+Default login paths to check: _**/wp-login.php, /wp-login/, /wp-admin/, /wp-admin.php, /login/**_

 ### **Main WordPress Files**

 * `index.php`
 * `license.txt` sadrži korisne informacije kao što je verzija WordPress-a koja je instalirana.
 * `wp-activate.php` se koristi za proces aktivacije putem email-a prilikom postavljanja novog WordPress sajta.
-* Folderi za prijavu (mogu biti preimenovani da bi se sakrili):
+* Login folders (may be renamed to hide it):
 * `/wp-admin/login.php`
 * `/wp-admin/wp-login.php`
 * `/login.php`
 * `/wp-login.php`
-* `xmlrpc.php` je fajl koji predstavlja funkciju WordPress-a koja omogućava prenos podataka putem HTTP-a kao transportnog mehanizma i XML-a kao mehanizma kodiranja. Ova vrsta komunikacije je zamenjena WordPress [REST API](https://developer.wordpress.org/rest-api/reference).
+* `xmlrpc.php` je datoteka koja predstavlja funkciju WordPress-a koja omogućava prenos podataka putem HTTP-a kao transportnog mehanizma i XML-a kao mehanizma kodiranja. Ova vrsta komunikacije je zamenjena WordPress [REST API](https://developer.wordpress.org/rest-api/reference).
 * Folder `wp-content` je glavna direktorijum gde se čuvaju dodaci i teme.
-* `wp-content/uploads/` je direktorijum gde se čuvaju svi fajlovi koji su otpremljeni na platformu.
-* `wp-includes/` Ovo je direktorijum gde se čuvaju osnovni fajlovi, kao što su sertifikati, fontovi, JavaScript fajlovi i dodaci.
-* `wp-sitemap.xml` U verzijama WordPress-a 5.5 i većim, WordPress generiše XML fajl mape sajta sa svim javnim postovima i javno upitnim tipovima postova i taksonomijama.
+* `wp-content/uploads/` je direktorijum gde se čuvaju sve datoteke koje su otpremljene na platformu.
+* `wp-includes/` Ovo je direktorijum gde se čuvaju osnovne datoteke, kao što su sertifikati, fontovi, JavaScript datoteke i dodaci.
+* `wp-sitemap.xml` U verzijama WordPress-a 5.5 i većim, WordPress generiše XML datoteku mape sajta sa svim javnim postovima i javno upitnim tipovima postova i taksonomijama.

 **Post exploitation**

-* Fajl `wp-config.php` sadrži informacije potrebne WordPress-u za povezivanje sa bazom podataka kao što su ime baze podataka, host baze podataka, korisničko ime i lozinka, ključevi za autentifikaciju i soli, i prefiks tabela baze podataka. Ovaj konfiguracioni fajl se takođe može koristiti za aktiviranje DEBUG moda, što može biti korisno u rešavanju problema.
+* Datoteka `wp-config.php` sadrži informacije potrebne WordPress-u za povezivanje sa bazom podataka kao što su ime baze podataka, host baze podataka, korisničko ime i lozinka, ključevi za autentifikaciju i soli, i prefiks tabela baze podataka. Ova konfiguraciona datoteka se takođe može koristiti za aktiviranje DEBUG moda, što može biti korisno u rešavanju problema.

 ### Users Permissions

@ -66,9 +65,9 @@ Podrazumevani putanje za prijavu koje treba proveriti: _**/wp-login.php, /wp-log

 ### **Get WordPress version**

-Proverite da li možete pronaći fajlove `/license.txt` ili `/readme.html`
+Check if you can find the files `/license.txt` or `/readme.html`

-Unutar **izvora koda** stranice (primer sa [https://wordpress.org/support/article/pages/](https://wordpress.org/support/article/pages/)):
+Inside the **source code** of the page (example from [https://wordpress.org/support/article/pages/](https://wordpress.org/support/article/pages/)):

 * grep
 ```bash
@ -110,22 +109,22 @@ curl -H 'Cache-Control: no-cache, no-store' -L -ik -s https://wordpress.org/supp
 <figure><img src="../../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>

 \
-Koristite [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=wordpress) za lako kreiranje i **automatizaciju radnih tokova** pokretanih najnaprednijim alatima zajednice na svetu.\
+Koristite [**Trickest**](https://trickest.com/?utm\_source=hacktricks\&utm\_medium=text\&utm\_campaign=ppc\&utm\_term=trickest\&utm\_content=wordpress) da lako izgradite i **automatizujete radne tokove** pokretane od strane **najnaprednijih** alata zajednice.\
 Pribavite pristup danas:

 {% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=wordpress" %}

 ## Aktivna enumeracija

-### Pluginovi i teme
+### Pluginovi i Teme

-Verovatno nećete moći da pronađete sve moguće Pluginove i teme. Da biste otkrili sve njih, biće potrebno da **aktivno Brute Force-ujete listu Pluginova i tema** (na sreću, postoje automatski alati koji sadrže ove liste).
+Verovatno nećete moći da pronađete sve moguće Pluginove i Teme. Da biste otkrili sve njih, biće potrebno da **aktivno Brute Force-ujete listu Pluginova i Tema** (na sreću, postoje automatski alati koji sadrže ove liste).

 ### Korisnici

 **ID Brute**

-Dobijate validne korisnike sa WordPress sajta tako što Brute Forcujete ID-eve korisnika:
+Dobijate validne korisnike sa WordPress sajta tako što Brute Force-ujete korisničke ID-eve:
 ```
 curl -s -I -X GET http://blog.example.com/?author=1
 ```
@ -178,7 +177,7 @@ Da biste proverili da li je aktivan, pokušajte da pristupite _**/xmlrpc.php**_
 ```
 Poruka _"Pogrešno korisničko ime ili lozinka"_ unutar odgovora sa kodom 200 treba da se pojavi ako akreditivi nisu validni.

-![](<../../.gitbook/assets/image (107) (2) (2) (2) (2) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (2) (4) (1).png>)
+![](<../../.gitbook/assets/image (107) (2) (2) (2) (2) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (2) (4) (1).png>)

 ![](<../../.gitbook/assets/image (721).png>)

@ -254,7 +253,7 @@ Pogledajte korišćenje **`system.multicall`** u prethodnom odeljku da biste nau
 ### wp-cron.php DoS

 Ova datoteka obično postoji u korenu Wordpress sajta: **`/wp-cron.php`**\
-Kada se ova datoteka **pristupi**, izvršava se "**teška**" MySQL **upit**, tako da je mogu koristiti **napadači** da **uzrokuju** **DoS**.\
+Kada se ova datoteka **pristupi**, izvršava se "**težak**" MySQL **upit**, tako da bi mogla biti korišćena od strane **napadača** da **uzrokuje** **DoS**.\
 Takođe, po defaultu, `wp-cron.php` se poziva pri svakom učitavanju stranice (svaki put kada klijent zatraži neku Wordpress stranicu), što na sajtovima sa visokim prometom može izazvati probleme (DoS).

 Preporučuje se da se onemogući Wp-Cron i da se kreira pravi cronjob unutar hosta koji izvršava potrebne radnje u redovnim intervalima (bez izazivanja problema).
@ -273,7 +272,7 @@ Ovo je odgovor kada ne funkcioniše:

 Ovaj alat proverava da li **methodName: pingback.ping** i za putanju **/wp-json/oembed/1.0/proxy** i ako postoji, pokušava da ih iskoristi.

-### Automatski alati
+### Automatic Tools
 ```bash
 cmsmap -s http://www.domain.com -t 2 -a "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0"
 wpscan --rua -e ap,at,tt,cb,dbe,u,m --url http://www.domain.com [--plugins-detection aggressive] --api-token <API_TOKEN> --passwords /usr/share/wordlists/external/SecLists/Passwords/probable-v2-top1575.txt #Brute force found users and search for vulnerabilities using a free API token (up 50 searchs)
@ -282,14 +281,14 @@ wpscan --rua -e ap,at,tt,cb,dbe,u,m --url http://www.domain.com [--plugins-detec
 <figure><img src="../../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>

 \
-Koristite [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=wordpress) da lako izgradite i **automatizujete radne tokove** pokretane najnaprednijim **alatima** zajednice.\
+Koristite [**Trickest**](https://trickest.com/?utm\_source=hacktricks\&utm\_medium=text\&utm\_campaign=ppc\&utm\_term=trickest\&utm\_content=wordpress) da lako izgradite i **automatizujete radne tokove** pokretane najnaprednijim **alatima** zajednice.\
 Pribavite pristup danas:

 {% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=wordpress" %}

 ## Pribavite pristup prepisivanjem jednog bita

-Više od pravog napada, ovo je radoznalost. U CTF-u [https://github.com/orangetw/My-CTF-Web-Challenges#one-bit-man](https://github.com/orangetw/My-CTF-Web-Challenges#one-bit-man) mogli ste da prebacite 1 bit iz bilo kog wordpress fajla. Tako ste mogli da prebacite poziciju `5389` fajla `/var/www/html/wp-includes/user.php` da NOP-ujete NOT (`!`) operaciju.
+Više od pravog napada, ovo je radoznalost. U CTF [https://github.com/orangetw/My-CTF-Web-Challenges#one-bit-man](https://github.com/orangetw/My-CTF-Web-Challenges#one-bit-man) mogli ste da prebacite 1 bit iz bilo kog wordpress fajla. Tako ste mogli da prebacite poziciju `5389` fajla `/var/www/html/wp-includes/user.php` da NOP-ujete NOT (`!`) operaciju.
 ```php
 if ( ! wp_check_password( $password, $user->user_pass, $user->ID ) ) {
 return new WP_Error(
@ -347,7 +346,7 @@ Pristupite mu i videćete URL za izvršavanje reverse shell-a:

 Ova metoda uključuje instalaciju malicioznog plugina za koji se zna da je ranjiv i može se iskoristiti za dobijanje web shell-a. Ovaj proces se sprovodi kroz WordPress kontrolnu tablu na sledeći način:

-1. **Plugin Acquisition**: Plugin se dobija iz izvora kao što je Exploit DB kao [**ovde**](https://www.exploit-db.com/exploits/36374).
+1. **Plugin Acquisition**: Plugin se dobija iz izvora kao što je Exploit DB kao [**here**](https://www.exploit-db.com/exploits/36374).
 2. **Plugin Installation**:
 * Idite na WordPress kontrolnu tablu, zatim idite na `Dashboard > Plugins > Upload Plugin`.
 * Uploadujte zip fajl preuzetog plugina.
@ -359,7 +358,7 @@ Ova metoda uključuje instalaciju malicioznog plugina za koji se zna da je ranji

 Sadržaj uključuje vizuelne prikaze koji prikazuju korake u WordPress kontrolnoj tabli za instalaciju i aktivaciju plugina. Međutim, važno je napomenuti da je iskorišćavanje ranjivosti na ovaj način ilegalno i neetično bez odgovarajuće dozvole. Ove informacije treba koristiti odgovorno i samo u legalnom kontekstu, kao što je pentesting sa izričitom dozvolom.

-**Za detaljnije korake proverite:** [**https://www.hackingarticles.in/wordpress-reverse-shell/\*\***](https://www.hackingarticles.in/wordpress-reverse-shell/)
+**For more detailed steps check:** [**https://www.hackingarticles.in/wordpress-reverse-shell/\*\***](https://www.hackingarticles.in/wordpress-reverse-shell/)

 ## Post Exploitation

@ -371,6 +370,47 @@ Promenite administratorsku lozinku:
 ```bash
 mysql -u <USERNAME> --password=<PASSWORD> -h localhost -e "use wordpress;UPDATE wp_users SET user_pass=MD5('hacked') WHERE ID = 1;"
 ```
+## Wordpress Plugins Pentest
+
+### Attack Surface
+
+Poznavanje načina na koji Wordpress plugin može izložiti funkcionalnost je ključno za pronalaženje ranjivosti u njegovoj funkcionalnosti. Možete pronaći kako plugin može izložiti funkcionalnost u sledećim tačkama i neke primere ranjivih plugina u [**ovom blog postu**](https://nowotarski.info/wordpress-nonce-authorization/).
+
+* **`wp_ajax`**&#x20;
+
+Jedan od načina na koji plugin može izložiti funkcije korisnicima je putem AJAX handlera. Ovi handleri mogu sadržati logiku, greške u autorizaciji ili autentifikaciji. Štaviše, često se dešava da će ove funkcije zasnivati i autentifikaciju i autorizaciju na postojanju wordpress nonce-a koji **bilo koji korisnik autentifikovan u Wordpress instanci može imati** (nezavisno od njegove uloge).
+
+Ovo su funkcije koje se mogu koristiti za izlaganje funkcije u pluginu:
+```php
+add_action( 'wp_ajax_action_name', array(&$this, 'function_name'));
+add_action( 'wp_ajax_nopriv_action_name', array(&$this, 'function_name'));
+```
+**Korišćenje `nopriv` čini krajnju tačku dostupnom svim korisnicima (čak i neautentifikovanim).**
+
+{% hint style="danger" %}
+Pored toga, ako funkcija samo proverava autorizaciju korisnika pomoću funkcije `wp_verify_nonce`, ova funkcija samo proverava da li je korisnik prijavljen, obično ne proverava ulogu korisnika. Tako da korisnici sa niskim privilegijama mogu imati pristup akcijama sa visokim privilegijama.
+{% endhint %}
+
+* **REST API**
+
+Takođe je moguće izložiti funkcije iz WordPress-a registrujući REST API koristeći funkciju `register_rest_route`:
+```php
+register_rest_route(
+$this->namespace, '/get/', array(
+'methods' => WP_REST_Server::READABLE,
+'callback' => array($this, 'getData'),
+'permission_callback' => '__return_true'
+)
+);
+```
+`permission_callback` je povratna funkcija koja proverava da li je dati korisnik ovlašćen da pozove API metodu.
+
+**Ako se koristi ugrađena funkcija `__return_true`, jednostavno će preskočiti proveru dozvola korisnika.**
+
+* **Direktan pristup php datoteci**
+
+Naravno, Wordpress koristi PHP i datoteke unutar dodataka su direktno dostupne sa interneta. Dakle, u slučaju da dodatak izlaže bilo koju ranjivu funkcionalnost koja se aktivira jednostavnim pristupom datoteci, biće iskorišćena od strane bilo kog korisnika.
+
 ## WordPress zaštita

 ### Redovne ažuriranja
@ -400,13 +440,14 @@ Takođe, **instalirajte samo pouzdane WordPress dodatke i teme**.
 <figure><img src="../../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>

 \
-Koristite [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=wordpress) za lako kreiranje i **automatizaciju radnih tokova** uz pomoć najnaprednijih **alata** zajednice.\
+Koristite [**Trickest**](https://trickest.com/?utm\_source=hacktricks\&utm\_medium=text\&utm\_campaign=ppc\&utm\_term=trickest\&utm\_content=wordpress) za lako kreiranje i **automatizaciju radnih tokova** uz pomoć najnaprednijih **alata** zajednice na svetu.\
 Pribavite pristup danas:

 {% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=wordpress" %}
+
 {% hint style="success" %}
-Učite i vežbajte AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
-Učite i vežbajte GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
+Učite i vežbajte AWS Hacking:<img src="../../.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../../.gitbook/assets/arte.png" alt="" data-size="line">\
+Učite i vežbajte GCP Hacking: <img src="../../.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="../../.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

 <details>

@ -418,5 +459,3 @@ Učite i vežbajte GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data

 </details>
 {% endhint %}
-</details>
-{% endhint %}