WordPress es uno de los CMS mas populares a nivel mundial , su uso es realmente sencillo y posee una gran gama de Plugins que extienden su funcionalidad , sin embargo como todo sistema no es inmune a los ataques (Informaticos) y precisamente
de ello trata este articulo.
xmlrpc.php
WordPress tiene un archivo de nombre xmlrpc.php , el cual implementa el protocolo XML-RPC que permite entre otras cosas postear de forma remota como por ejemplo a traves de Thunderbird , smartphones , etc.
Este archivo que es muy util , pero en el pasado ha tenido algunos problemas (Fallo DDoS ,Pingback) y en la actualidad aun los sigue teniendo, a finales del año pasado salio a la luz un nuevo vector de ataque se trata de un Force Brute Amplificado , un ataque de Force Brute tradicional consiste en enviar peticiones con combinaciones de usuarios y contraseñas a wp-login.php , pero esto casi nunca funciona debido a que existen muchos metodos para mitigarlo como un TOKEN personalizad , Restrinccion de IP , entre otros.
En este es un nuevo vector de ataque se usa el metodo system.multicall incluido en xmlrpc.php que permite ejecutar multiples consultas en una sola peticcion , se usa wp.getCategories el cual es un metodo que solicita usuario y contraseña las cuales se pueden enviar a montones y asi se logra FuerzaBrutear WordPress.
La herramienta Wordpress-XMLRPC-Brute-Force-Exploit en palabras de su propio autor envia 1000 intentos de autentificacion por peticcion.Esta herramienta esta escrita en Python y la pueden descargar desde su repositorio en GitHub
Si usan usa distribucion GNU/Linux con GIT incluido , bastara con solo clonar el repositorio y despues moverse a la carpeta clonada
git clone https://github.com/1N3/Wordpress-XMLRPC-Brute-Force-Exploit tool
cd tool
Su uso es realmente sencillo tan solo requiere el url de la web a ataquar , una lista de contraseñas , el programa viene con un pequeno dicionario diccionario (58 Palabras) en una auditoria real se deberia optar por una mas grande o mejor selecionado pero en esta ocacion tratandose de un ejemplo.Tambien requiere el nombre de usuario , por defecto usa "admin" pero se puede especificar cualquier otro pasandolo como parametro
sudo python wordpress-xmlrpc-brute.py http://webwordpress.algo/xmlrpc.php passwords.txt
Como se muestra en la imagen se logro obtener la combinacion usuario contraseña , en este caso admin/1234567 , y aunque este vector ya esta mitigado solucionado en las ultimas versiones de WordPress aun hay muchas webs vulnerables.
Referencias
https://github.com/1N3/Wordpress-XMLRPC-Brute-Force-Exploit
https://blog.sucuri.net/2014/03/more-than-162000-wordpress-sites-used-for-distributed-denial-of-service-attack.html
https://blog.sucuri.net/2015/10/brute-force-amplification-attacks-against-wordpress-xmlrpc.html
http://ayudawp.com/como-proteger-wordpress-de-la-vulnerabilidad-pingback/
Este comentario ha sido eliminado por el autor.
ResponderEliminar