GANA EL CONTROL DE WORDPRESS MEDIANTE LA EXPLOTACIÓN DE XML-RPC

PASO 1 PRUEBA PARA LA VULNERABILIDAD

En primer lugar, si tienes WordPress que se ejecutan localmente o en una máquina virtual , se debe revisar la base de instalación del directorio. Estamos interesados en el xmlrpc.php archivo que puede ver allí, porque ese medio es que es abierto a este ataque.

También se puede simplemente probar su sitio, seguido por /xmlrpc.php , como lo hice más adelante en mi local de WordPress (sustituir "localhost" con su nombre de URL de sitios web). Si XML-RPC es escuchar, o hay, se le avisará de ello. Parece que nos encontramos un blog potencialmente vulnerables (que diría "prohibido" o algo por el estilo de lo contrario).

Sin entrar demasiado profundamente en la maleza, XML-RPC trabaja con funcionalidad de WordPress system.multicall, que hace alusión a la forma en que puede dirigir una gran cantidad de información en el sitio de una sola vez, por ejemplo durante la carga de contenido o la recuperación de todas las publicaciones recientes.

Este exploit se aprovecha de la manera el contenido o, en este caso, las contraseñas se lanzan en el inicio de sesión en gran número sin levantar demasiadas cejas. Inicio de sesión en un momento dado, WP se acaba de pasar un archivo XML con una cadena para su nombre de usuario y una cadena para su contraseña.

<cadena> admin </ string> 

<string> MiContraseña </ string>

Cuando intenta iniciar sesión en WordPress, el nombre de usuario / contraseñas se realiza un seguimiento de la siguiente manera:

Es uno-a-uno, en otras palabras. Usted puede notar si alguien estaba tratando de iniciar una sesión en cada pocos segundos durante horas, o podría tener una herramienta creada para restringir los inicios de sesión incorrectos. Eso es todo la seguridad de WordPress sensata. Pero con respecto a este artículo, si se combinan XML-RPC con system.multicall, se puede tirar esencialmente cientos de inicios de sesión en WordPress simultáneamente, pero sólo tienen esos intentos de conexión se muestran como un inicio de sesión que el anterior. Esto elevaría sin banderas, ¿verdad?

Eso es todo lo que estamos tratando de hacer aquí.

PASO 2 CORTAR EN EL SERVIDOR

A continuación se muestra un ejemplo de cómo se ve en formato XML. La sección resaltada es sólo una contraseña de tratar, por lo que tendría que repetir esa sección para múltiples intentos con diferentes contraseñas. Como se puede imaginar, esto tomaría una seria cantidad de tiempo haciendo de ellos uno por uno.

Para acelerar este proceso, vamos a utilizar una secuencia de comandos que se encuentra en GitHub que lea nuestra lista de contraseñas y concesionarios bucles de la sección resaltada por encima con una nueva contraseña de la lista de contraseñas en cada sección. Así, la cabeza a la 1N3 / Wordpress-XMLRPC-fuerza bruta-Exploit en GitHub y descarga los archivos a través del enlace HTTP. (Descarga el código postal, o Git si te gusta eso.)

Abrir una ventana de terminal y cd a donde se ha descargado el archivo, y luego descomprimir los archivos en su lugar:

descomprimir WordPress-XMLRPC-Brute-Force-Exploit-master.zip

A continuación, cambie a ese directorio:

cd WordPress-XMLRPC-fuerza bruta-Exploit-master

Mientras que estás ahí, no se pierde nada para cambiar los permisos en el archivo de Python para asegurarse de que no se opongan a cualquier problema que se ejecutan. Los medios "7" que está asignando usted será capaz de hacer cualquier cosa que desee con el archivo.

chmod 755 wordpress-xmlrpc-brute.py

Ahora ejecute el comando Python solo, y echa un vistazo a las instrucciones.

./wordpress-xmlrpc-brute.py

He destacado las instrucciones en azul. Para localhost, esto es:

./wordpress-xmlrpc-brute.py http: //localhost/xmlrpc.php passwords.txt nombre de usuario

En fin, eso significa que el nombre del archivo de Python, a continuación, el nombre del servidor y, a continuación contraseña nombre de archivo y nombre de usuario. En este caso, estamos usando la passwords.txt archivo incluido en la descarga GitHub (que sólo tiene una pequeña cantidad de contraseñas en ella), y estamos tratando de administrador como nombre de usuario. Si desea utilizar su propia lista de contraseñas, simplemente incluirlo en su comando en su lugar, y utilizar cualquier nombre de usuario si se estima conveniente, esta herramienta sólo se ocupa de las contraseñas.

Así que cuando se ejecuta lo anterior con su nombre de servidor de destino en lugar de "localhost", el archivo de contraseña y nombre de usuario, la secuencia de comandos de Python se ejecutará a través del archivo passwords.txt incluido y se ejecutará en la forma en gran parte sin ser detectados. Si tiene éxito, el script escupir su nombre de usuario, en forma de nombre de usuario / contraseña.

PARA EVITAR ESTE EXPLOIT

Protección contra la vulnerabilidad de XML-RPC es fácil de versiones más recientes no incluyen la funcionalidad en absoluto. Dicho esto, muchos de terceros herramientas de publicación WordPress como Jetpack , y aplicaciones de teléfonos inteligentes, como IFTTT , podrían requerir el uso de XML-RPC, por lo que incluso algunas instalaciones actuales de WordPress han sido adaptados con el código vulnerable y por lo tanto están abiertas a la intrusión.

Compruebe su propio WordPress instala, y asegúrese de que si la integración de cualquier nueva herramienta que permite la interacción con WP desde el punto de vista remota, de que no se ha abierto la puerta a la intrusión de XML-RPC o cualesquiera otras intrusiones. Esta es una de las muchas vulnerabilidades de WordPress, y este ataque escritura fácil es un buen punto de partida en su investigación.