Frameworks / Plataformas / CMS

Aqui iremos ver ataques a diversos tipo de plataformas, como WordPress, Magento, Cold Fusion, etc... Trabalharemos com métodos manuais e exploits.

Wordpress

xmlrpc.php

O xmlrpc.php é um arquivo que representa um recurso do WordPress que permite que os dados sejam transmitidos com HTTP atuando como mecanismo de transporte e XML como mecanismo de codificação. Esse tipo de comunicação foi substituído pela API REST do WordPress.

Com ele é possível realizar Brute Force em usuários, realizar pingback, DoS, etc. Clique no link abaixo para ir para a seção de DoS em Wordpress.

DoS / DDoS

WPScan

Atualizar o WPScan

wpscan --update

Realiza scan no site e devolve as vulnerabilidades

wpscan --url http://site.com

Realiza scan no site utilizando a API-key

wpscan --url http://site.com --api-token <token>

Realiza scan somente nos Plugins vulneráveis

wpscan --url http://site.com --enumerate vp

Realiza scan somente nos Temas vulneráveis

Realiza scan somente em Plugins e Temas vulneráveis

Realiza uma busca por contas de usuários com senhas padrões

Tentar utilizar force brute para quebrar senha do usuário administrator

Utilizando User-Agent válido aleatório

Nmap

Enumeração de Temas e Plugins instalados

Enumeração de usuários do Wordpress. OBS.: As versões vulneráveis a esse scan são da 2.6 a 3.2-beta2

Brute Force na tela de login do Wordpress

cURL

Validando credenciais via xmlrpc.php

Versão do Wordpress

Verifique também se é possível ver a versão do WP nas chamadas dos arquivos JS e CSS. Note que nem todas as chamadas irão mostrar a versão do Wordpress, então procure por versões semelhantes para ter uma maior precisão

Enumerando Plugins

Enumerando Temas

Gerando Hashes de Senhas

Gerando novo hash para usuários. Para isso é preciso acessar o banco de dados, alterar a tabela wp_users e então acessar a página administrativa em http://site.com/wp-login

RCE (Metasploit)

RCE (Manual)

Caso possua acesso administrativo ao painel do Wordpress, execute os passos abaixo para realiar uma reverse shell.

Vá no painel administrativo do wordpress, clique em Plugins (menu a esquerda). Agora instale um novo plugin, que está localizado em /usr/share/seclists/Web-Shells/WordPress/plugin-shell.zip. Após isso, basta acessar o arquivo PHP malicioso utilizando o parâmetro (via GET ou POST):

Magento

Magescan

Arquivos/Páginas Sensíveis

LavaMagentoBD

Faça o Upload do LavaMagentoBD e depois execute o seguinte comando no terminal:

Joomla

Scanner por Vulnerabilidades

Procurando Senhas

Falha Antiga

Das versões 1.6.0 até 2.5.2 possuem falhas que dão privilégios administrativos.

Tela de Login: www.site.com.br/index.php?option=com_users&view=registration

Cold Fusion

Exibindo versão do Cold Fusion:

Exibindo senhas em SHA1 para acesso WEB do Cold Fusion:

Com o Metasploit podemos realizar upload de arquivos usando o exploit abaixo. Este só funciona na versão 8.0.1

Drupalgeddon2

DICA: Caso dê erro a execução do Drupalgeddon2, execute o seguinte comando: sudo gem install highline

Elasticsearch

Verifique se há o kopf (plugin para gerenciar o servidor) está instalado

Realizando pesquisas

Verificando os nós (nodes)

Retornando a lista de índices

Retornando os usuários

Retornando a lista de índices

Retornando os usuários

Retornando conteúdos do usuário. Adicione ?size=1000 no final do comando acima para aumentar a quantidade de registros, pois o padrão são 10 só registros

Elasticsearch-dump

Este irá mapear os resultados de pesquisa recursiva do Elasticsearch e salvar em um arquivo JSON:

Agora acesse <output.json> em sua máquina local

WebDav

Apesar de ser pouco utilizado, ainda é possível achar. É muito parecido com o FTP, mas passa por um HTTP. O WebDav já vem instalado junto com o XAMPP e pode ser acessado com suas credenciais padrões:

Para verificar se algo possui um webdav instalado, utilize o seguinte comando:

Também podemos fazer upload de arquivo no WebDav, utilizando o davtest

Se você conseguiu obter acesso, mas não consegue executar o código porque o WebDav proibiu de fazer o upload do código .asp, pl ou o que quer que seja, podemos fazer isso: Faça o upload de um arquivo chamado shell443.txt (que obviamente é o shell asp). Agora renomeie para shell443.asp;.jpg e visita a página no navegador. O código asp será executado retornará seu shell.

Para mover um arquivo, utilize o HTTP METHOD MOVE. No exemplo abaixo, estamos renomeando o arquivo test.txt para test.aspx.

Tomcat

As vezes é possível encontrar a senha de admin do Tomcat no arquivo tomcat-users.xml. Abaixo segue alguns lugares comuns que podemos encontrar. Altere a versão do tomcat ao procurar.

Depois de encontrar a senha, acesse o Tomcat Manager, que fica geralmente em http://<site.com>/manager/html.

File Upload

Caso o Tomcat esteja na versão 9 ou inferior, podemos realizar upload de arquivos .war maliciosos. Podemos pegar o arquivo cmdjsp.jsp (que já está presente no kali) e converter para arquivo war, com os comandos abaixo:

Após isso, podemos acessar o arquivo via web browser no endereço http://<ip>:8080/mysther/file.jsp. Note que realizamos o upload de um arquivo .war, porém na web acessamos o arquivo .jsp.

Versão 8.5.39

Nessa versão podemos acessar um arquivo .bat que executa comandos no sistema operacional.

Adminer

Este é um concorrente do PHPMyAdmin, que geralmente encontramos com o nome adminer.php. A falha do Adminer, consiste em conectar em um banco de dados externo. Por exemplo, na tela de login (http://site.com.br/adminer.php), podemos conectar em um servidor remoto que seja nosso. Feito isso, podemos ler arquivos do servidor remoto (Adminer) e salvar os resultados em nosso banco de dados, executando a seguinte query:

PHP X-Debug Ativo

Abra o phpinfo.php e veja se o X-Debug está ativo. Caso positivo, utilize o Metasploit para criar uma Reverse Shell.

Sites

PreviousPersistênciaNextRedis

Last updated

Was this helpful?