This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Atacando a un Wordpress

  • 16 Replies
  • 11151 Views

0 Members and 1 Guest are viewing this topic.

Offline Dedalo

  • *
  • Underc0der
  • Posts: 116
  • Actividad:
    0%
  • Reputación 0
  • KUSH
  • Twitter: https://twitter.com/SeguridadBlanca
    • View Profile
    • Twitter Personal

Atacando a un Wordpress

  • on: June 27, 2012, 03:45:32 pm
Bueno cuando hacer symlink o sacas algun tipo de inyección en un plugin de wordpress o le meter keylogger y le sacas el pass del wordpress algunos no saben como defacear el wordpress yo les voy a enseñar una forma o un par de formas mejor dicho de como los defaceamos...





Ya estamos en el panel de administración ahora veamos arriba del número 3 dice howdy admin al lado dice New Post ahi demos click


veremos algo parecido a esto:





lo que está señalado en rojo le damos click, osea donde dice html y agregamos este código:


Code: (html5) You are not allowed to view links. Register or Login
<META HTTP-EQUIV="Refresh" CONTENT="3; URL=http://underc0de.org">
donde dice underc0de.org cambienlo por la url donde esté su index... esta es una opcion ustedes hagan su html puede ser un iframe quizás o con lo que ustedes deseen, un javascript derrepente... lo que hacemos básicamente es crear un post con un contenido de redirección para al entrar al wordpress redireccione a nuestro index.



La otra manera es mas interesante...


Vemos que en la imagen en la parte 1 aparece un boton llamado plugins:




le damos click y veremos algo como esto:




pongan editar y aparecerá algo asi:




editamos ese php y ponemos el código de nuestra shell ahora ponemos Save File y...

luego ingresamos a:

You are not allowed to view links. Register or Login


Es Tu shell verdad?

Luego cambias el index del wordpress y ya OWNED!



Espero que Se haya entendido es bien fácil y pues no hagan lammeradas...



Saludos,
Dedalo
« Last Edit: June 27, 2012, 03:53:36 pm by Dedalo »
You are not allowed to view links. Register or Login

Online ANTRAX

  • *
  • Administrator
  • Posts: 5802
  • Actividad:
    100%
  • Country: ar
  • Reputación 42
  • ANTRAX
  • Twitter: @Underc0de
    • View Profile
    • Underc0de
    • Email

Re:Defaceando a un Wordpress

  • on: June 27, 2012, 03:47:26 pm
Muy muy bueno Dedalo! Esta espectacular!
Excelente trabajo bro!
muchas gracias por compartir!


Offline CalebBucker

  • *
  • Underc0der
  • Posts: 155
  • Actividad:
    0%
  • Reputación 0
  • Te crees Estrella? Avísame para pedirte un Deseo
    • View Profile
    • [In]Seguridad Informatica

Re:Defaceando a un Wordpress

  • on: June 27, 2012, 03:51:59 pm
Muy bueno, pero si queres que los users no hagan "lameradas" el titulo no seria DEFACEANDO WORDPRESS

Creo yo que seria SUBIR SHELL A SITIOS WORDPRESS

Saludos...
You are not allowed to view links. Register or Login

Offline Dedalo

  • *
  • Underc0der
  • Posts: 116
  • Actividad:
    0%
  • Reputación 0
  • KUSH
  • Twitter: https://twitter.com/SeguridadBlanca
    • View Profile
    • Twitter Personal

Re:Atacando a un Wordpress

  • on: June 27, 2012, 03:55:54 pm
lo he cambiado a atacando pero aun asi el defacear es una referencia por las técnicas que pongo pero puede ser subir un .exe para infectar redireccionar el index a mi propio site para generarme visitas y mil cosas mas... en fin queda en decisión de cada uno que hacer.


Saludos,
Dedalo
You are not allowed to view links. Register or Login

Offline aura16

  • *
  • Underc0der
  • Posts: 83
  • Actividad:
    0%
  • Reputación 0
    • View Profile

Re:Atacando a un Wordpress

  • on: June 27, 2012, 04:17:26 pm
hola :D espero que no te moleste mi comentario pero....
para que esto funcione tenemos que ser los administradores.. ¿sierto?
y si el wordpress no es nuestro? ._.

PD: esque la mayoria de los editores wysiwyg tiene el error de poder introducir codigo HTML sin proteccion D:

Offline Dedalo

  • *
  • Underc0der
  • Posts: 116
  • Actividad:
    0%
  • Reputación 0
  • KUSH
  • Twitter: https://twitter.com/SeguridadBlanca
    • View Profile
    • Twitter Personal

Re:Atacando a un Wordpress

  • on: June 27, 2012, 04:28:43 pm
Si debes ser admin con symlink o con sqli como dice en el post es obvio que le sacas el password al admin...

el objetivo de este post es de ataque... sería un poco tonto y lammer atacar un wordpress propio.


Saludos,
Dedalo
You are not allowed to view links. Register or Login

Offline aura16

  • *
  • Underc0der
  • Posts: 83
  • Actividad:
    0%
  • Reputación 0
    • View Profile

Re:Atacando a un Wordpress

  • on: June 27, 2012, 04:36:27 pm
You are not allowed to view links. Register or Login
Si debes ser admin con symlink o con sqli como dice en el post es obvio que le sacas el password al admin...

el objetivo de este post es de ataque... sería un poco tonto y lammer atacar un wordpress propio.


Saludos,
Dedalo

jajajjaja por eso te pregunte, porque se me iso algo tonto tu pos D:
porque eso de "atacar un wordpress propio." es una tonteria S:
pero ya aclarado eso... no hay problema :D

Offline Muppet

  • *
  • Ex-Staff
  • *****
  • Posts: 405
  • Actividad:
    0%
  • Country: 00
  • Reputación 0
    • View Profile
    • Email

Re:Atacando a un Wordpress

  • on: June 27, 2012, 11:55:46 pm
Creo q esta seccion trata de vulnerabilidades web, y de como explotarlas, en tu post no encuentro ni una vulnerabilidad, ni veo q expliques como explotarla, solo veo q explicas como defacear una web y creo q eso va en otra seccion. Dedalo dime si me equivoco, creo q esto va en la seccion de  Hacking ShowOff
Entonces él dijo, "cruzad con vuestras tropas y atacad porque es lo único que le queda a nuestro pueblo...".

Offline Dedalo

  • *
  • Underc0der
  • Posts: 116
  • Actividad:
    0%
  • Reputación 0
  • KUSH
  • Twitter: https://twitter.com/SeguridadBlanca
    • View Profile
    • Twitter Personal

Re:Atacando a un Wordpress

  • on: June 27, 2012, 11:57:17 pm
En esta sección van técnicas de ataque también y esta es una técnica de ataque, de como subir shell en ciertos cms también...


Saludos,
Dedalo
You are not allowed to view links. Register or Login

Offline Muppet

  • *
  • Ex-Staff
  • *****
  • Posts: 405
  • Actividad:
    0%
  • Country: 00
  • Reputación 0
    • View Profile
    • Email

Re:Atacando a un Wordpress

  • on: June 28, 2012, 12:13:40 am
Ok Disculpa, Pense q iva en otra seccion, no concidere q uplodear una shell o editar el Source de un php fuera un ataque.
Entonces él dijo, "cruzad con vuestras tropas y atacad porque es lo único que le queda a nuestro pueblo...".

Offline Dedalo

  • *
  • Underc0der
  • Posts: 116
  • Actividad:
    0%
  • Reputación 0
  • KUSH
  • Twitter: https://twitter.com/SeguridadBlanca
    • View Profile
    • Twitter Personal

Re:Atacando a un Wordpress

  • on: June 28, 2012, 12:32:08 am
Muchos no saben como subir shells en ciertos cms yo no sabia como hacerlo en wordpress en algún momento... y nadie me dijo tube que averiguar solo lo que hago es facilitarselo a otros...


Saludos,
Dedalo
You are not allowed to view links. Register or Login

Offline Muppet

  • *
  • Ex-Staff
  • *****
  • Posts: 405
  • Actividad:
    0%
  • Country: 00
  • Reputación 0
    • View Profile
    • Email

Re:Atacando a un Wordpress

  • on: June 28, 2012, 12:34:10 am
Entiendo, Disculpa ahora q lo leo, sono algo agresivo el coment, pero no fue con intencion de menospreciar tu aporte, me parece bueno q lo agreges solo pense q iva en otra seccion.
Entonces él dijo, "cruzad con vuestras tropas y atacad porque es lo único que le queda a nuestro pueblo...".

Offline Dedalo

  • *
  • Underc0der
  • Posts: 116
  • Actividad:
    0%
  • Reputación 0
  • KUSH
  • Twitter: https://twitter.com/SeguridadBlanca
    • View Profile
    • Twitter Personal

Re:Atacando a un Wordpress

  • on: July 03, 2012, 04:21:57 pm
You are not allowed to view links. Register or Login
Pero si no sabes leer la edicion de archivos del wordpress
no estas mas bien provocando oleadas de lammers defacers?
por que lo que estas poniendo no son tecnicas de ataque como tal
estas poniendo metodos de modificacion de contenido
y subir la shell es como que muy ovio como subir ese tipo de chells
detodos modos desde un sqli puedes subir una chell
o miles de cosas mas, creo que esto solo proboca oleadas de lammers defaceros
que el deface no es mas que grafitteo inutil :3


xD brother creer que una shell es para hacer un deface es limitar tu mente al 100% yo puse esto porque cuando trabajas en pentesting... tu objetivo es ejecutar consola remota en cualquier sistema... ejecutarle un meterpreter hacer pivoting a partir de un server con una web con bug alojada la shell en un server no es necesariamente para defacear sino para poder ingresar a otro server en la lan o diferentes cosas... yo no soy defacer y no soy partidario de el tampoco pero esto para mi si es una técnica de ataque... depende de los ojos que lo ven...


Saludos,
Dedalo
You are not allowed to view links. Register or Login

Offline 5TU4RT

  • *
  • Underc0der
  • Posts: 100
  • Actividad:
    0%
  • Reputación 0
  • Si se puede imaginar... se puede programar.!
    • View Profile
    • Underc0de
    • Email

Re:Atacando a un Wordpress

  • on: July 03, 2012, 04:35:30 pm
You are not allowed to view links. Register or Login
Pero si no sabes leer la edicion de archivos del wordpress
no estas mas bien provocando oleadas de lammers defacers?
por que lo que estas poniendo no son tecnicas de ataque como tal
estas poniendo metodos de modificacion de contenido
y subir la shell es como que muy ovio como subir ese tipo de chells
detodos modos desde un sqli puedes subir una chell
o miles de cosas mas, creo que esto solo proboca oleadas de lammers defaceros
que el deface no es mas que grafitteo inutil :3

Psymera, Aquí estamos para compartir conocimiento... y recuerda que donde dices que "subir una shell es como que muy obvio", Para ti sera obvio porque supuestamente "YA SABIAS" y No todos lo saben; todos en algun momento aprendimos de algo o de alguien.! asi que no te las des de superior ni demerites el post de dedalo porque a muchas personas les sirvió mucho!!!

Salu2
5TU4RT
Si se puede imaginar... se puede programar.!

Offline Dedalo

  • *
  • Underc0der
  • Posts: 116
  • Actividad:
    0%
  • Reputación 0
  • KUSH
  • Twitter: https://twitter.com/SeguridadBlanca
    • View Profile
    • Twitter Personal

Re:Atacando a un Wordpress

  • on: July 03, 2012, 04:50:49 pm
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
Pero si no sabes leer la edicion de archivos del wordpress
no estas mas bien provocando oleadas de lammers defacers?
por que lo que estas poniendo no son tecnicas de ataque como tal
estas poniendo metodos de modificacion de contenido
y subir la shell es como que muy ovio como subir ese tipo de chells
detodos modos desde un sqli puedes subir una chell
o miles de cosas mas, creo que esto solo proboca oleadas de lammers defaceros
que el deface no es mas que grafitteo inutil :3

Psymera, Aquí estamos para compartir conocimiento... y recuerda que donde dices que "subir una shell es como que muy obvio", Para ti sera obvio porque supuestamente "YA SABIAS" y No todos lo saben; todos en algun momento aprendimos de algo o de alguien.! asi que no te las des de superior ni demerites el post de dedalo porque a muchas personas les sirvió mucho!!!

Salu2
5TU4RT


Gracias stuart pero ya dejalo ahi por cierto psymera no todas las sqli te dejan subir shell :)


Saludos,
Dedalo
You are not allowed to view links. Register or Login

Offline Dedalo

  • *
  • Underc0der
  • Posts: 116
  • Actividad:
    0%
  • Reputación 0
  • KUSH
  • Twitter: https://twitter.com/SeguridadBlanca
    • View Profile
    • Twitter Personal

Re:Atacando a un Wordpress

  • on: July 03, 2012, 04:56:53 pm
You are not allowed to view links. Register or Login
a mi no me enseñaron :3
solo es leer
es que velo dicen los botones editar archivo
si fuera algo como el bypass para editar archivos fuera del theme
eso si seria algo ke no descubres mas ke con nivel
pero esto es solo lee documentacion
no es ningun secreto ni privado ni el hilo negro
esto funciona igual con smf
es que estas "tecnicas" provocan la proliferacion de los kiddies
no contribuyen
recuerda dale un pescado a un hombre y comera un dia
enseñale a pescar y comera siempre
enseñales etica enseñales a buscar y leer
no a copiar y pegar :3
y para pentesting se ke se hace
yo me dedico al pentesting desde hace mas de 6 años en entidades bancarias televisoras y gobierno


siempre trato de enseñar a pescar bro... y que trabajes en gobs, tvs y gobs no quiere decir mucho... muchas de ellas están hasta el perno... aun que pagan bien felicidades por eso... cierro el hilo aquí... gracias por tus comentarios hayan sino positivos o negativos.


Saludos,
Dedalo
You are not allowed to view links. Register or Login

Offline blood_rec

  • *
  • Underc0der
  • Posts: 110
  • Actividad:
    0%
  • Country: pr
  • Reputación 3
  • From no0b to ro0t in 5 seconds :)
    • View Profile
    • H4x0r Security Group

Re:Atacando a un Wordpress

  • on: July 03, 2012, 05:15:47 pm
las shells no son solo para defecear, con una shell puedo darle mantenimiento a un server y todo a veces hasta el trabajo facil le hace a uno...

salu2
“Human Stupidity that's why Hackers always win.”
You are not allowed to view links. Register or Login importante ahora es subir el # de post en un foro wtf 😂
😂😂😂 CTRL + p