(http://www.baggeconsulting.com/wp-content/uploads/2013/02/cms.png)
Antes de nada, este post viene de la pregunta de un user, sobre una herramienta similar a WPScan, pero para otros gestores de contenido. La podeis encontrar aquí (https://underc0de.org/foro/dudas-generales-121/algo-similar-a-wpscan/). Probando la herramienta en el blog de Underc0de (https://blog.underc0de.org/), me saltó una alerta sobre una vulnerabilidad que permite hacer fuerza bruta para loguearse en el archivo
xmlrpc.php. Decidí comprobar si era un falso positivo, o si realmente era vulnerable.
CMSmap es un escáner de gestores de contenido
open source escrito en python. Se encagarga de automatizar el proceso de búsqueda de las vulnerabilidades más conocidas de los CMS. Lo interesante de esta herrmienta es que agrupa tres de los gestores de contenido más usados:
Wordpress,
Joomla y
Drupal.
Instalación:
La instalación es muy sencilla, únicamente copiaremos su repositorio de GitHub con este comando:
(http://i.imgur.com/ZJbNu3T.png)
Instalación de CMSmap
Comandos y uso:
Una vez instalado, vamos a la carpeta en donde se clonó en script y lo ejecutamos para ver las opciones disponibles con el comando --help
(http://i.imgur.com/IQCF0TD.png?1)
Opciones CMSmap
Como podemos observar, con este comando tenemos información sobre la versión de la herramienta y el autor, junto con el uso básico, ejemplos y los parámetros divididos en cinco categorías:
Targets:- -t, --target: seleccionar objetivo (e.g. 'https://blog.underc0de.org:')
- -f, --force: forzar CMS - (W)ordpress, (J)oomla or (D)rupal
- -F, --fullscan: realizar escáner profundo. Produce falsos positivos y es lento
- -a, --agent: elegir user-agent
- -T, --threads: número de hilos (por defecto: 5)
- -i, --input: escanear una lista de objetivos desde un archivo de texto
- -o, --output: guardar el resultado en un archivo
- --noedb: enumerar plugins sin buscar exploits
Brute-Force:- -u, --usr: usuario o diccionario
- -p, --psw: contraseña o diccionario
- --noxmlrpc: no hacer fuerza bruta mediante XML-RPC
Post Exploitation:- -k, --crack: crackear hash (solo para Wordpress y Joomla)
- -w, --wordlist: diccionario
Others:- -v, --verbose: mostrar detalles
- -U, --update: (C)MSmap, (W)ordpress plugins and themes, (J)oomla components, (D)rupal modules, (A)ll
- -h, --help: mostrar ayuda
Vemos que además de hacer un escáner, también es posible
realizar ataques de fuerza bruta mediante varios métodos, y realizar el
crackeo de hashes obtenidos para los CMS de WordPress Y Joomla. Además, si se consiguen credenciales, CMSmap trae consigos tres shells optimizadas para cada uno de los CMS, y te da la opción de subirla al servidor.
Ejemplo de uso (XML-RPC Brute Force en blog.underc0de.org):
Tras lanzar la herramienta con el target blog.underc0de.org (http://blog.underc0de.org), obtuve la alerta mencionada anteriormente:
(http://i.imgur.com/3uVvxLf.png)
XML-RPC Brute Force Vulnerability
CMSmap está en desarrollo, y creo que es por eso que en un principìo no me lanzaba fuerza bruta contra el archivo xmlrpc.php. Debido a esto decidí probar con otros scripts se encargaban de ello, pero no obtuve mejores resultados.
Scripts utilizados:
https://github.com/1N3/Wordpress-XMLRPC-Brute-Force-Exploit (https://github.com/1N3/Wordpress-XMLRPC-Brute-Force-Exploit)
https://github.com/El3ct71k/WordPress-XMLRPC-BruteForce-PoC (https://github.com/El3ct71k/WordPress-XMLRPC-BruteForce-PoC)
Probando de nuevo, CMSmap parecía realizar el ataque de fuerza bruta correctamente, asique modifiqué el código para añadir la password, ya que no se hace mediante un diccionario externo.
Resultado:
(http://i.imgur.com/Q9Ik7GQ.png)
Conseguimos acceso y posibilidad de subir una shell. Hemos comprobado que CMSmap es una herramienta con bastante potencial a pesar de estar en desarrollo, y como viene bien asegurarse de que las alertas no son falsos positivos, realizando diferentes comprobaciones.
El fallo fue corregido inmediatamente.
Repositorio en GitHub:
https://github.com/Dionach/CMSmap (https://github.com/Dionach/CMSmap)
Espero que les haya gustado, un saludo,
HATI ;D
Algún día aprenderé de esto... Voy por lo básico, excelente aporte
Muy buena herramienta, me gustaria añadir que se podria tambien llegar a usar el fichero "XML RPC" para ejecutar un ataque de DDoS
Cita "Probando de nuevo, CMSmap parecía realizar el ataque de fuerza bruta correctamente, asique modifiqué el código para añadir la password, ya que no se hace mediante un diccionario externo."
No entiendo muy bien esa parte, que parte modificaste?
No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
Cita "Probando de nuevo, CMSmap parecía realizar el ataque de fuerza bruta correctamente, asique modifiqué el código para añadir la password, ya que no se hace mediante un diccionario externo."
No entiendo muy bien esa parte, que parte modificaste?
Supongo que lo que hizo fue añadir al diccionario que usa CMSmap las credenciales del propio usuario en este caso HATI:password, o crear un diccionario, vamos un simple txt :)
Hola @zoro248 (https://underc0de.org/foro/profile/zoro248/),
Cita de: zoro248No entiendo muy bien esa parte, que parte modificaste?
CMSmap no utiliza diccionario externo, si no que contiene los datos de las credenciales a probar mediante fuerza bruta en el propio código fuente. Al ser software libre, puedes acceder al código y modificarlo, y eso fue lo que hice añadiendo unicamente mi contraseña, ya que los usuarios para realizar el ataque los toma de la "enumeración de usuarios".
Cito "Tras lanzar la herramienta con el target blog.underc0de.org, obtuve la alerta mencionada anteriormente:
Underc0de - Hacking y seguridad informática-http://i.imgur.com/3uVvxLf.png
XML-RPC Brute Force Vulnerability
CMSmap está en desarrollo, y creo que es por eso que en un principìo no me lanzaba fuerza bruta contra el archivo xmlrpc.php. Debido a esto decidí probar con otros scripts se encargaban de ello, pero no obtuve mejores resultados."
No te contradices??, primero dijiste que encontraste el fallo al usar la herramienta, pero despues dices que en un principio no te "lanzaba fuerza bruta con xmlrpc.php.."
Tenia entendido que con unas peticiones al archivo xmlrpc.php podrias hacer DoS, saturando su ancho de banda (si lo tiene limitado), pero no encontre ninguna tool para probarlo, los blogs de WP solo daban info a medias, tendras algo de informacion? y de igual manera de lo de auntenticarse por xmlrpc.php eso si tampoco tenia idea al respecto, agradecia algunos links con info (Estoy aplicando hardening a mi WP y simulo ataques contra mi pagina web, no lo busco para intenciones lammers)
Saludos!
Cita de: No te contradices??, primero dijiste que encontraste el fallo al usar la herramienta, pero despues dices que en un principio no te "lanzaba fuerza bruta con xmlrpc.php.."
@zoro248 (https://underc0de.org/foro/profile/zoro248/), no veo la contradicción, tal vez estés entendiendo mal. Encontrar la vulnerabilidad y explotarla son cosas diferentes.
Con una búsqueda en google obtienes bastante información sobre el tema:
- Módulo de Metasploit wordpress_xmlrpc_dos (https://www.rapid7.com/db/modules/auxiliary/dos/http/wordpress_xmlrpc_dos)
- Plugin Wordpress Anti-xmlrpc DoS (https://es.wordpress.org/plugins/stop-xmlrpc-attack/)
- Información sobre el ataque (inglés) (https://blog.sucuri.net/2014/07/new-brute-force-attacks-exploiting-xmlrpc-in-wordpress.html)
Cita de: No te contradices??, primero dijiste que encontraste el fallo al usar la herramienta, pero despues dices que en un principio no te "lanzaba fuerza bruta con xmlrpc.php.."
Vale entonces la encontraste con WPScan y la explotaste con con CMSmap?