- •Отзывы и пожелания
- •Список опечаток
- •Нарушение авторских прав
- •Предисловие
- •Кому адресована эта книга
- •О чем идет речь в книге
- •Как извлечь максимум из книги?
- •Загрузка примеров
- •Загрузка цветных изображений
- •Условные обозначения
- •Атаки на веб-приложения. Введение
- •Правила применения оружия
- •Вопросы конфиденциальности данных
- •Очистка
- •Инструментарий тестировщика
- •Kali Linux
- •Альтернативы Kali Linux
- •Прокси-сервер
- •Burp Suite
- •Zed Attack Proxy
- •Облачная инфраструктура
- •Дополнительные источники
- •Упражнения
- •Резюме
- •Глава 2
- •Эффективное обнаружение
- •Типы тестирования
- •Построение карты сети
- •Masscan
- •hatWeb
- •Nikto
- •CMS-сканеры
- •Эффективная атака методом полного перебора
- •Средства сканирования
- •Постоянное картирование контента
- •Обработка полезной нагрузки
- •«Полиглот»
- •Запутывание (обфускация) кода
- •Дополнительные источники
- •Упражнения
- •Резюме
- •Глава 3
- •Легкая добыча
- •Анализ сети
- •Ищем вход
- •Определение учетных данных
- •Есть способ получше
- •Очистка
- •Дополнительные ресурсы
- •Резюме
- •Глава 4
- •Продвинутые способы атаки с использованием метода полного перебора
- •Распыление подбора пароля
- •Спросим LinkedIn
- •Метаданные
- •Кассетная бомба
- •За семью прокси-серверами
- •ProxyCannon
- •Резюме
- •Глава 5
- •Внедрение файлов
- •Удаленное внедрение файлов
- •Локальное внедрение файлов
- •Внедрение файла для удаленного выполнения кода
- •Резюме
- •Обнаружение и эксплуатация уязвимостей в приложениях с помощью внешних сервисов
- •Распространенный сценарий
- •Командно-контрольный сервер
- •Центр сертификации Let’s Encrypt
- •INetSim
- •Подтверждение
- •Асинхронное извлечение данных
- •Построение выводов на основе анализа данных
- •Резюме
- •Расширение функциональных возможностей Burp Suite
- •Нелегальная аутентификация и злоупотребление учетными записями
- •Швейцарский нож
- •Запутывание кода
- •Collaborator
- •Открытый сервер
- •Выделенный сервер Collaborator
- •Резюме
- •Глава 8
- •Вредоносная сериализация
- •Использование десериализации
- •Атака на пользовательские протоколы
- •Анализ протокола
- •Эксплойт для осуществления атаки
- •Резюме
- •Практические атаки на стороне клиента
- •Правила ограничения домена
- •Совместное использование ресурсов разными источниками
- •Межсайтовый скриптинг
- •Постоянный XSS
- •DOM-модели
- •Межсайтовая подделка запроса
- •BeEF
- •Перехват
- •Атаки с применением методов социальной инженерии
- •Кейлоггер
- •Закрепление в системе
- •Автоматическая эксплуатация
- •Туннелирование трафика
- •Резюме
- •Практические атаки на стороне сервера
- •Внутренние и внешние ссылки
- •Атаки XXE
- •Атака billion laughs
- •Подделка запроса
- •Сканер портов
- •Утечка информации
- •«Слепой» XXE
- •Удаленное выполнение кода
- •Резюме
- •Глава 11
- •Атака на API
- •Протоколы передачи данных
- •SOAP
- •REST
- •Аутентификация с помощью API
- •Базовая аутентификация
- •Ключи API
- •Токены на предъявителя
- •Postman
- •Установка
- •Вышестоящий прокси-сервер
- •Среда выполнения
- •Коллекции
- •Запуск коллекции
- •Факторы атаки
- •Резюме
- •Глава 12
- •Атака на CMS
- •Оценка приложения
- •WPScan
- •sqlmap
- •Droopescan
- •Arachni
- •Взлом кода с помощью бэкдора
- •Закрепление в системе
- •Утечка учетных данных
- •Резюме
- •Глава 13
- •Взлом контейнеров
- •Сценарий уязвимости в Docker
- •Осведомленность о ситуации
- •Взлом контейнера
- •Резюме
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|||||||||
w Click |
to |
BUY 314 Глава 12.Атака на CMS |
w Click |
to |
|
|
|
|
|
|
|||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
|
|
цию, о которой отдел информационной безопасности не знает, и оставил ее |
|
|
|
e |
|
|||||||||||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
|
|||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
работать в течение многих лет.
WordPress легко атаковать,но Drupal и Joomla также могут стать отличными мишенями.
Они страдают от тех же проблем, связанных с уязвимыми плагинами и темами и редко устанавливаемыми обновлениями. WordPress – это своего рода Голиаф, и мы сосредоточим внимание на нем, но методология атак может транслироваться на любую систему управления контентом, хотя инструменты могут немного отличаться.
В следующих разделах подробно рассмотрим атаки на WordPress, и к концу главы вы должны разбираться в следующих вопросах:
тестирование WordPress с помощью различных инструментов;закрепление в коде WordPress сразу после получения доступа;взлом WordPress для сбора учетных и других интересных данных.
Оценка приложения
Как и в случае с другими приложениями, когда мы сталкиваемся с сайтом, работающим на WordPress илидругой CMS,нам нужно провести разведку: найти легкую мишень и попытаться понять, с чем мы имеем дело. Существует ряд инструментов, которые помогут нам начать работу, и мы рассмотрим распространенный сценарий, в котором они помогут нам определить уязвимости и эксплуатировать их.
WPScan
Обычно первое, что могут использовать злоумышленники, сталкиваясь с приложением, работающим на WordPress,– это WPScan. Это надежная и часто обновляемая утилита,используемая для обнаружения уязвимостей и даже поиска учетных данных.
WPScan имеет много полезных функций, в том числе следующие:
перечисление плагинов и тем:
• пассивный и активный режимы обнаружения;перечисление имен пользователей;полный перебор с целью получения учетных данных;
сканирование на предмет выявления уязвимостей.
Полезной функцией для оценок является возможность передавать все свои запросы через прокси-сервер, такой как локальный экземпляр Burp Suite. Это позволяет нам видеть атаку в реальном времени и воспроизводить некоторые
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
E |
|
|
|
|||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
Оценка приложения 315 BUY |
|
|
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
w Click |
to |
|
|
|
|
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
|||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
полезныенагрузки.Вовремявыполнениязаданияэтоможетбытьполезнодля |
|
|
e |
|
|||||||||||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
|
|||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
записи действий и даже передачи вирусов-«полиглотов».
root@kali:~# wpscan --url http://cookingwithfire.local/ --proxy 127.0.0.1:8080
Использование вышележащего прокси-сервера с WPScan может генерировать огромное количество данных в истории сервера Burp, особенно при выполнении атаки, направленной на получение учетных записей,или при активном сканировании.
Проксирование нашего сканирования с помощью Burp дает нам контроль над исходящими соединениями.
Рис.12.1. Burp перехватывает веб-запросы WPScan
Пользовательский агентпо умолчанию (WPScan vX.X.X) можно изменить с помощью опции --user-agent или выбрать его в случайном порядке с помощью опции --random-agent.
WPScan доступен в Kali и большинстве дистрибутивов, используемых при тестировании на проникновение. Его также можно найти на сайте https://wpscan.org/ или клонировать на GitHub:
https://github.com/wpscanteam/wpscan.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
NOW! |
|
o |
|
|
|
P |
|
|
|
|
|
NOW! |
o |
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|||||||||
w Click |
to |
BUY 316 Глава 12.Атака на CMS |
w Click |
to |
|
|
|
|
|
|
|||||||||||||||||
|
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
|
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
e |
Типичное задание начинается с пассивного сканирования цели с использо- |
|
|
|
e |
|
|||||||||||||
|
|
|
df |
|
|
n |
|
|
|
|
|
|
|
|
|
|
|
df |
|
|
n |
|
|
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
ванием параметра --url.Используя приведенную ниже команду,мы запустим |
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
сканирование по умолчанию для тестового блога cookingwithfire.local. |
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
root@kali:~# wpscan --url http://cookingwithfire.local/ |
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
_______________________________________________________________ |
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
__ |
|
_______ |
_____ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
\ \ |
|
/ / __ \ / ____| |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
\ \ |
/\ |
/ /| |__) | (___ ___ __ _ _ __ ® |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
\ \/ |
\/ / | ___ / \___ \ / __|/ _’ | ‘_ \ |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
\ |
/\ |
/ | | |
____) | (__| (_| | | | | |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
\/ |
\/ |
|_| |
|_____/ \___|\__,_|_| |_| |
|
|
|
|
|
|
|
|
|
|
|
|
WordPress Security Scanner by the WPScan Team Version 2.9.3
Sponsored by Sucuri - https://sucuri.net @_WPScan_, @ethicalhack3r, @erwan_lr, pvdl, @_FireFart_
_______________________________________________________________
[+] URL: http://cookingwithfire.local/
[!]The WordPress ‘http://cookingwithfire.local/readme.html’ file exists exposing a version number
[!]Full Path Disclosure (FPD) in ‘http://cookingwithfire.local/ wpincludes/rss-functions.php’:
[+]Interesting header: LINK:
<http://cookingwithfire.local/index.php?rest_route=/>; rel=”https://api.w.org/”
[+]Interesting header: SERVER: Apache/2.4.25 (Debian)
[+]Interesting header: X-POWERED-BY: PHP/7.2.3
[+]XML-RPC Interface available under: http://cookingwithfire.local/xmlrpc.php
[+]WordPress version 4.9.4 (Released on 2018-02-06) identified from meta generator, links opml
[!]1 vulnerability identified from the version number
[!]Title: WordPress <= 4.9.4 - Application Denial of Service (DoS)
(unpatched)
Reference: https://wpvulndb.com/vulnerabilities/9021
Reference: https://baraktawily.blogspot.fr/2018/02/how-to-dos- 29-of-world-wide-websites.html
Reference: https://github.com/quitten/doser.py
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
|
C |
E |
|
|
|
|||||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
||
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||||
P |
|
|
|
|
|
NOW! |
|
o |
P |
|
|
|
|
|
|
NOW! |
o |
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
Оценка приложения 317 BUY |
|
|
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
w Click |
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
||
|
. |
|
|
|
|
g |
.c |
|
|
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
Reference: https://thehackernews.com/2018/02/WordPress-dosexploit. |
|
|
df |
|
|
n |
e |
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
html
Reference: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE- 2018-6389
[+]WordPress theme in use: kale - v2.2
[+]Name: kale - v2.2
| Latest version: 2.2 (up to date)
| Last updated: 2018-03-11T00:00:00.000Z
| Location: http://cookingwithfire.local/wp-content/themes/kale/
| Readme: http://cookingwithfire.local/wpcontent/ themes/kale/readme.txt
| Changelog: http://cookingwithfire.local/wpcontent/ themes/kale/changelog.txt
| Style URL: http://cookingwithfire.local/wpcontent/ themes/kale/style.css
| Theme Name: Kale
| Theme URI: https://www.lyrathemes.com/kale/
| Description: Kale is a charming and elegant, aesthetically minimal and uncluttered food blog theme that can al...
| Author: LyraThemes
| Author URI: https://www.lyrathemes.com/
[+]Enumerating plugins from passive detection ...
[+]No plugins found
[+]Requests Done: 348
[+]Memory used: 41.449 MB
[+]Elapsed time: 00:00:03
root@kali:~#
На первый взгляд кажется, что здесь мало что подходит для эксплуатации. Есть уязвимость, связанная с раскрытием полного пути, которая пригодится, например, если нужно найти место, куда можно поместить оболочку. Ошибка отказа в обслуживании (DoS) не очень интересна, поскольку большинство клиентов не допускает данный тип эксплуатации, но ее полезно упомянуть в отчете как возможный маршрутдля сбоя.
По умолчанию WPScan выполняет пассивное перечисление плагинов. В основном это означает, что он будет обнаруживать плагин только в том случае,
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
NOW! |
o |
|
P |
|
|
|
|
|
NOW! |
o |
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
Глава 12.Атака на CMS |
|
|
|
|
|
BUY |
|
|
|||||||||
w Click |
to |
BUY 318 |
w Click |
to |
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
|
|
если на него есть ссылки где-то на сайте. Если плагин отключен или он более |
|
|
|
e |
|
||||||||||||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
|
|||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
неприметный, может потребоваться выполнить активное перечисление. |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
Входеактивногосканированиябудетвыполненапроверканапредметнали- |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
чия файлов известных плагинов в папке wp-content и выдаваться оповещение |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
о любых существующих уязвимостях. Это делается путем отправки огромного |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
количестваURL-запросовпоизвестнымпутям,иеслиестьответ,WPScanпред- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
полагает,что плагин доступен. |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
Чтобы указать тип сканирования, которое нам нужно выполнить, ключ |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
--enumerate (-e – его сокращенный вариант) принимает несколько парамет |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
ров для активного обнаружения: |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
u – поиск имен пользователей с идентификаторами от 1 до 10; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
u[10-20] – поиск имен пользователей с идентификаторами от 10 до 20: |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
--enumerate u[15]; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
p – поиск популярных плагинов; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
vp – показываеттолько уязвимые плагины; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ap – поиск всех известных плагинов; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
tt – поиск уязвимостей в Timthumb; |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
t – перечисление популярных тем; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
vt – показываеттолько уязвимые темы; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
at – поиск всех известных тем. |
|
|
|
|
|
|
|
|
|
|
|
|
Также можно использоватьнесколько опций --enumerate (или -e)для перечисления тем, плагинов и имен пользователей за один раз. Например, с помощью этой комбинации опций можно выполнить довольно тщательное сканирование.
root@kali:~# wpscan --url [url] -e ap -e at -e u
Давайте продолжим и начнем активно перечислять доступные плагины для нашего объекта атаки.
root@kali:~# wpscan --url http://cookingwithfire.local/
--enumerate p
[...]
[+]URL: http://cookingwithfire.local/
[...]
[+]Enumerating installed plugins (only ones marked as popular)
...
[...]
[+]Name: google-document-embedder - v2.5
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
|
|
e |
|
|
|
|
|
|
|
|
| Last updated: 2018-01-10T16:02:00.000Z |
||||
|
|
|
|
|
n |
|
|
|
||
|
|
|
|
-xcha |
|
|
|
|
Оценка приложения
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
E |
|
|
|||
|
|
X |
|
|
|
|
|||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
||||
319 BUY |
|
|
|||||||
|
|
|
|
|
|||||
w Click |
to |
|
|
|
|
m |
|||
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
g |
|
|
|
|
|
|
df |
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
| Location: http://cookingwithfire.local/wpcontent/ plugins/google-document-embedder/
| Readme: http://cookingwithfire.local/wpcontent/ plugins/google-document-embedder/readme.txt
[!]The version is out of date, the latest version is 2.6.4
[!]Title: Google Document Embedder 2.4.6 - pdf.php file Parameter Arbitrary File Disclosure
Reference: https://wpvulndb.com/vulnerabilities/6073
Reference: http://www.securityfocus.com/bid/57133/
Reference: http://packetstormsecurity.com/files/119329/
Reference: http://ceriksen.com/2013/01/03/WordPress-googledocument- embedder-arbitrary-file-disclosure/
Reference: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE- 2012-4915
Reference: https://secunia.com/advisories/50832/
Reference: https://www.rapid7.com/db/modules/exploit/unix/webapp/wp_google_do cument_embedder_exec
Reference: https://www.exploit-db.com/exploits/23970/ [i] Fixed in: 2.5.4
[!] Title: Google Document Embedder <= 2.5.14 - SQL Injection
Reference: https://wpvulndb.com/vulnerabilities/7690
Reference: http://security.szurek.pl/google-doc-embedder-2514- sql-injection.html
Reference:
https://exchange.xforce.ibmcloud.com/vulnerabilities/98944
Reference: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE- 2014-9173
Reference: https://www.exploit-db.com/exploits/35371/ [i] Fixed in: 2.5.15
[!] Title: Google Document Embedder <= 2.5.16 - SQL Injection
Reference: https://wpvulndb.com/vulnerabilities/7704
Reference: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE- 2014-9173
Reference: https://www.exploit-db.com/exploits/35447/
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
||||
w Click |
to |
BUY 320 Глава 12.Атака на CMS |
||||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
|
|
e |
|
|
|
|
|
|
[i] Fixed in: 2.5.17 |
||||||
|
|
|
|
|
n |
|
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
[!] Title: Google Doc Embedder <= 2.5.18 - Cross-Site Scripting (XSS)
Reference: https://wpvulndb.com/vulnerabilities/7789
Reference: http://packetstormsecurity.com/files/130309/
Reference: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE- 2015-1879
[i] Fixed in: 2.5.19
[+]Requests Done: 1766
[+]Memory used: 123.945 MB
[+]Elapsed time: 00:00:10 root@kali:~#
Похоже, Google Document Embedder успешно найден, и есть несколько критических уязвимостей с общедоступным PoC-кодом.
SQL-инъекцию с тегом CVE-2014-9173 можно найти на cайте https://www. exploit-db.com, который в Kali можно запросить локально с помощью search-
sploit. Это простая утилита, выполняющая поиск в локальном каталоге Kali /usr/share/exploitdb/. Эта папка часто скопирована локально и полезна в средах, где, возможно, интернет недоступен.
Можновызватьsearchsploit изкоманднойстрокиспоисковымзапросомв качестве первого параметра, как показано ниже.
Рис.12.2. Результаты работы searchsploit для Google Document Embedder
searchsploit перечислит заголовок эксплойта и связанный с ним путь, относящийся к /usr/share/exploitdb/ в дистрибутивах Kali.
В документе /usr/share/exploitdb/exploits/php/webapps/35371.txt
программист Каспер Шурек (Kacper Szurek) определяет URL-параметр gpid
в файле плагина wp-content/plugins/google-document-embedder/view.php
как точку внедрения.