работать в течение многих лет.

WordPress легко атаковать,но Drupal и Joomla также могут стать отличными мишенями.

Они страдают от тех же проблем, связанных с уязвимыми плагинами и темами и редко устанавливаемыми обновлениями. WordPress – это своего рода Голиаф, и мы сосредоточим внимание на нем, но методология атак может транслироваться на любую систему управления контентом, хотя инструменты могут немного отличаться.

В следующих разделах подробно рассмотрим атаки на WordPress, и к концу главы вы должны разбираться в следующих вопросах:

тестирование WordPress с помощью различных инструментов;закрепление в коде WordPress сразу после получения доступа;взлом WordPress для сбора учетных и других интересных данных.

Оценка приложения

Как и в случае с другими приложениями, когда мы сталкиваемся с сайтом, работающим на WordPress илидругой CMS,нам нужно провести разведку: найти легкую мишень и попытаться понять, с чем мы имеем дело. Существует ряд инструментов, которые помогут нам начать работу, и мы рассмотрим распространенный сценарий, в котором они помогут нам определить уязвимости и эксплуатировать их.

WPScan

Обычно первое, что могут использовать злоумышленники, сталкиваясь с приложением, работающим на WordPress,– это WPScan. Это надежная и часто обновляемая утилита,используемая для обнаружения уязвимостей и даже поиска учетных данных.

WPScan имеет много полезных функций, в том числе следующие:

перечисление плагинов и тем:

• пассивный и активный режимы обнаружения;перечисление имен пользователей;полный перебор с целью получения учетных данных;

сканирование на предмет выявления уязвимостей.

Полезной функцией для оценок является возможность передавать все свои запросы через прокси-сервер, такой как локальный экземпляр Burp Suite. Это позволяет нам видеть атаку в реальном времени и воспроизводить некоторые

записи действий и даже передачи вирусов-«полиглотов».

root@kali:~# wpscan --url http://cookingwithfire.local/ --proxy 127.0.0.1:8080

Использование вышележащего прокси-сервера с WPScan может генерировать огромное количество данных в истории сервера Burp, особенно при выполнении атаки, направленной на получение учетных записей,или при активном сканировании.

Проксирование нашего сканирования с помощью Burp дает нам контроль над исходящими соединениями.

Рис.12.1. Burp перехватывает веб-запросы WPScan

Пользовательский агентпо умолчанию (WPScan vX.X.X) можно изменить с помощью опции --user-agent или выбрать его в случайном порядке с помощью опции --random-agent.

WPScan доступен в Kali и большинстве дистрибутивов, используемых при тестировании на проникновение. Его также можно найти на сайте https://wpscan.org/ или клонировать на GitHub:

https://github.com/wpscanteam/wpscan.

WordPress Security Scanner by the WPScan Team Version 2.9.3

Sponsored by Sucuri - https://sucuri.net @_WPScan_, @ethicalhack3r, @erwan_lr, pvdl, @_FireFart_

_______________________________________________________________

[+] URL: http://cookingwithfire.local/

[!]The WordPress ‘http://cookingwithfire.local/readme.html’ file exists exposing a version number

[!]Full Path Disclosure (FPD) in ‘http://cookingwithfire.local/ wpincludes/rss-functions.php’:

[+]Interesting header: LINK:

<http://cookingwithfire.local/index.php?rest_route=/>; rel=”https://api.w.org/”

[+]Interesting header: SERVER: Apache/2.4.25 (Debian)

[+]Interesting header: X-POWERED-BY: PHP/7.2.3

[+]XML-RPC Interface available under: http://cookingwithfire.local/xmlrpc.php

[+]WordPress version 4.9.4 (Released on 2018-02-06) identified from meta generator, links opml

[!]1 vulnerability identified from the version number

[!]Title: WordPress <= 4.9.4 - Application Denial of Service (DoS)

(unpatched)

Reference: https://wpvulndb.com/vulnerabilities/9021

Reference: https://baraktawily.blogspot.fr/2018/02/how-to-dos- 29-of-world-wide-websites.html

Reference: https://github.com/quitten/doser.py

html

Reference: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE- 2018-6389

[+]WordPress theme in use: kale - v2.2

[+]Name: kale - v2.2

| Latest version: 2.2 (up to date)

| Last updated: 2018-03-11T00:00:00.000Z

| Location: http://cookingwithfire.local/wp-content/themes/kale/

| Readme: http://cookingwithfire.local/wpcontent/ themes/kale/readme.txt

| Changelog: http://cookingwithfire.local/wpcontent/ themes/kale/changelog.txt

| Style URL: http://cookingwithfire.local/wpcontent/ themes/kale/style.css

| Theme Name: Kale

| Theme URI: https://www.lyrathemes.com/kale/

| Description: Kale is a charming and elegant, aesthetically minimal and uncluttered food blog theme that can al...

| Author: LyraThemes

| Author URI: https://www.lyrathemes.com/

[+]Enumerating plugins from passive detection ...

[+]No plugins found

[+]Requests Done: 348

[+]Memory used: 41.449 MB

[+]Elapsed time: 00:00:03

root@kali:~#

На первый взгляд кажется, что здесь мало что подходит для эксплуатации. Есть уязвимость, связанная с раскрытием полного пути, которая пригодится, например, если нужно найти место, куда можно поместить оболочку. Ошибка отказа в обслуживании (DoS) не очень интересна, поскольку большинство клиентов не допускает данный тип эксплуатации, но ее полезно упомянуть в отчете как возможный маршрутдля сбоя.

По умолчанию WPScan выполняет пассивное перечисление плагинов. В основном это означает, что он будет обнаруживать плагин только в том случае,

Также можно использоватьнесколько опций --enumerate (или -e)для перечисления тем, плагинов и имен пользователей за один раз. Например, с помощью этой комбинации опций можно выполнить довольно тщательное сканирование.

root@kali:~# wpscan --url [url] -e ap -e at -e u

Давайте продолжим и начнем активно перечислять доступные плагины для нашего объекта атаки.

root@kali:~# wpscan --url http://cookingwithfire.local/

--enumerate p

[...]

[+]URL: http://cookingwithfire.local/

[...]

[+]Enumerating installed plugins (only ones marked as popular)

...

[...]

[+]Name: google-document-embedder - v2.5