Cuando el otro día publiqué que usar Shodan es una forma cómoda de buscar los plugins inseguros en WordPress alguno me preguntó eso de: "Vale, ¿y cómo sé cuáles son los plugins de un WordPress?"
En teoría el post iba destinado a los dueños de un sitio con WordPress, pero en auditoría de caja negra esto se puede hacer de diferentes formas. La más simple sería navegar por el sitio e ir identificando los distintos plugins, pero se puede automatizar esto de diferentes maneras. Vamos a ver algunos ejemplos.
El Ferrari de ÉL
Hace tiempo ÉL anunciaba que se había pasado al Ferrari, con lo que sabía que su blog es un WordPress. Los plugins en WordPress se cargan, por defecto, en el directorio wp-content/plugings, así que para saber si existe un plugin o no, basta con buscar un error 404, que significaría la ausencia del plugin, u otro mensaje de respuesta (400 o 403) que significaría que el plugin existe.
Así, si buscamos el plugin maligno en la web de ÉL vemos que no existe.
Un 404 con "estilo". No hay plugin maligno
Sin embargo, si miramos por akismet, uno de los más comunes, vemos que obtenemos un mensaje 403, además sin personalizar, por lo que podemos sacar más info del servidor web.
Un 404 con feucho. Hay un akismet
Frikiñeka y la automatizacion con nmap
Hace tiempo que tenía ganas de devolverle a Frikiñeka el agravio que me hizo al meterse con el tema de mi blog (con cariño...), así que, como tiene un WordPress, he decidido probar con su blog "La muñeca friki" un script de nmap que automatiza esta búsqueda de de plugins. No te enfades... }:))
Lo primero es descubrir el directorio de plugins que, como podemos ver, es el de por defecto, así que nada, pedimos un plugin que no exista y obtenemos un 404
Bonito mensaje 404 }:))
Y uno que sí que exista, y obtenemos un 403.
Feo mensaje 403 }:((
A partir de este momento, podemos hacer uso de http-wp-plugins para nmap. Este script hace fuerza bruta con miles de nombres de plugins en el directorio que carga desde un fichero. Tienes que bajar el script y ponerlo en la ruta de scripts de nmap, y el diccionario y ponerlo en nselib/data.
Para ejecutarlo, lo más sencillo:
nmap -p80 -vv --script=http-wp-plugin --script-arg http-wp-plugins.root="/",http-wp-plugins.search=500 www.miwordpress.mal
Donde hay que indicarle la ruta base de WordPress y el número de plugins a probar. La gracia es que el fichero de plugins está ordenado de más a menos popularidad, con lo que por defecto solo prueba los 100 más populares.
namp con Zenmap y los plugins descubiertos
Lanzado sobre frikineka.com, obtenemos la lista de plugins que ha sido capaz de identificar. Llama la atención que se ha currado la seguridad y ha puesto el plugin WP-Security-Scan para fortificar el wordpress, como buena freak };).
Y lo más fácil: El listado de directorios abierto
Por último, no debes dejar que los árboles te impidan ver el bosque así que, antes de bruteforcear un WordPress, mira a ver si está el listado de directorios abierto en la carpeta de plugins, como sucede en este caso con Genbeta.
Listado del Plugins en Genbeta
Y eso es todo por hoy amigos, hasta mañana.
Saludos Malignos!
En teoría el post iba destinado a los dueños de un sitio con WordPress, pero en auditoría de caja negra esto se puede hacer de diferentes formas. La más simple sería navegar por el sitio e ir identificando los distintos plugins, pero se puede automatizar esto de diferentes maneras. Vamos a ver algunos ejemplos.
El Ferrari de ÉL
Hace tiempo ÉL anunciaba que se había pasado al Ferrari, con lo que sabía que su blog es un WordPress. Los plugins en WordPress se cargan, por defecto, en el directorio wp-content/plugings, así que para saber si existe un plugin o no, basta con buscar un error 404, que significaría la ausencia del plugin, u otro mensaje de respuesta (400 o 403) que significaría que el plugin existe.
Así, si buscamos el plugin maligno en la web de ÉL vemos que no existe.
Un 404 con "estilo". No hay plugin maligno
Sin embargo, si miramos por akismet, uno de los más comunes, vemos que obtenemos un mensaje 403, además sin personalizar, por lo que podemos sacar más info del servidor web.
Un 404 con feucho. Hay un akismet
Frikiñeka y la automatizacion con nmap
Hace tiempo que tenía ganas de devolverle a Frikiñeka el agravio que me hizo al meterse con el tema de mi blog (con cariño...), así que, como tiene un WordPress, he decidido probar con su blog "La muñeca friki" un script de nmap que automatiza esta búsqueda de de plugins. No te enfades... }:))
Lo primero es descubrir el directorio de plugins que, como podemos ver, es el de por defecto, así que nada, pedimos un plugin que no exista y obtenemos un 404
Bonito mensaje 404 }:))
Y uno que sí que exista, y obtenemos un 403.
Feo mensaje 403 }:((
A partir de este momento, podemos hacer uso de http-wp-plugins para nmap. Este script hace fuerza bruta con miles de nombres de plugins en el directorio que carga desde un fichero. Tienes que bajar el script y ponerlo en la ruta de scripts de nmap, y el diccionario y ponerlo en nselib/data.
Para ejecutarlo, lo más sencillo:
nmap -p80 -vv --script=http-wp-plugin --script-arg http-wp-plugins.root="/",http-wp-plugins.search=500 www.miwordpress.mal
Donde hay que indicarle la ruta base de WordPress y el número de plugins a probar. La gracia es que el fichero de plugins está ordenado de más a menos popularidad, con lo que por defecto solo prueba los 100 más populares.
namp con Zenmap y los plugins descubiertos
Lanzado sobre frikineka.com, obtenemos la lista de plugins que ha sido capaz de identificar. Llama la atención que se ha currado la seguridad y ha puesto el plugin WP-Security-Scan para fortificar el wordpress, como buena freak };).
Y lo más fácil: El listado de directorios abierto
Por último, no debes dejar que los árboles te impidan ver el bosque así que, antes de bruteforcear un WordPress, mira a ver si está el listado de directorios abierto en la carpeta de plugins, como sucede en este caso con Genbeta.
Listado del Plugins en Genbeta
Y eso es todo por hoy amigos, hasta mañana.
Saludos Malignos!
Realmente la red weblogssl.com está bastante mal configurada en general, no sólo por los listings, si no por los discloses. Ejemplo:
ResponderEliminarweblogssl path disclosure
genbeta path disclosure
No descartes un futuro "gawkerazo" ehpañó :-D
llama la atención que se ha currado la seguridad? jajajaja vas a cobrar ..
ResponderEliminarFelicitaciones por el premio!!!!!!!!.
ResponderEliminarY muchas gracias por seguir enseñandonos,jajaja la verdad haces que parezca facil!!!!!
Un abrazo desde Asturias
Parece divertido, nunca habia usado scripts de nmap.
ResponderEliminarLastima que cuando lo probe en Ubuntu no me anduvo, creo que por este bug: https://bugs.launchpad.net/ubuntu/+source/nmap/+bug/295817
Veremos si con Windows hay mas suerte...
He leído el post de frikiñeca y ...
ResponderEliminarSoy el único en el mundo que piensa que tu plantilla mola?
Todos piden que la cambies, yo pido que no. Saludos
Curioso, pero se debe tener en cuenta que aunque existan dentro del directorio "plugins" no tiene porque significar que están habilitados
ResponderEliminarHola,
ResponderEliminarSolo quería agregar que WordPress actualmente es uno de los mejores CMS (gestores de contenido) muy por enzima de Blogger y Joomla, con más de 15 millones de descargas.
Felicitaciones por tu blog ;)
Saludos,
Freddy.
yo me voy a lo mas sencillito, es posible utilizar el scrip en el zenmap???
ResponderEliminarWordPress mola, aunque su editor a veces vá por libre....reset de planet y saludos.
ResponderEliminarhttp://cultureleaks.wordpress.com/
es un gran documento, gran ayuda
ResponderEliminar