Underc0de - Hacking y seguridad informática

[In]Seguridad Informática => Seguridad web y en servidores => Mensaje iniciado por: BrowserNet en Mayo 31, 2016, 12:26:06 pm

Título: Brute Force en paneles de administración WordPress con WPScan
Publicado por: BrowserNet en Mayo 31, 2016, 12:26:06 pm
(https://1.bp.blogspot.com/-WRmArBWdSNQ/VtITV-XLv8I/AAAAAAAADh8/JUOyxY_hmPs/s1600/99.jpg)

Buenos dias hermanos de Underc0de he elaborado un POST bien especifico de como funciona un ataque de Fuerza Bruta o Brute Force en el CMS Wordpress.

Durante ya varios años, tenemos una herramienta llamada "WPSCAN" que se especializa en Análisis de Auditoria activa y pasiva.

Este es un ejemplo de un simple análisis que realice años atrás

http://www.backtrack-omar.com/2013/08/auditando-con-wpscan.html

Brute Force: Este ataque en general se lleva acabo como ultimo recurso para explotar un servidor obteniendo las credenciales de "Usuario" y "Contraseña" mediante las palabras de un "Diccionario",
cabe aclarar que si una contraseña es bien formulado con caracteres Alfa Numéricos y teclas especiales, el ataque de fuerza bruta varia de la capacidad del sistema.

(https://1.bp.blogspot.com/-WMGN7xOYAkI/VtIVYcd-sSI/AAAAAAAADiI/XdLifLKvGbQ/s1600/99.png)

Como podemos ver, este es el panel que tiene "WORDPRESS", el cual puede ser modificado en la interfaz a gusto del WebMaster

Lo que primero debemos es identificar el nombre de usuario del sitio web, para ello no lo haremos con ninguna herramienta, si no con el arte de "Ver"

(https://1.bp.blogspot.com/-NeeKAMp87r8/VtIWH0iS8qI/AAAAAAAADiQ/dxLqssEhNr4/s1600/2.png)

Al entrar a un sitio web hecho en Wordpress, vemos la siguiente "Plantilla", en mi caso hay un tema que se llama "CyberPunks Hackers", Entonces lo que haré sera entrar en ella.

(https://2.bp.blogspot.com/-1K2lB8UAqlM/VtIWkpMcYeI/AAAAAAAADiU/9H243Q01M9o/s1600/4.png)

Se dieron cuenta de algo¿?, Wordpress enumera los nombres de usuarios en cada "Tema" creados por los mismos, entonces vemos que el usuario se llama "CyberSecRoot"

Entonces vamos a dirigimos a Wpscan, pero antes vamos a crear nuestro diccionario o descargarlo a complejidad de cada uno.

Como vemos tengo creado un diccionario con algo de 30 palabras, que es el siguiente:

(https://1.bp.blogspot.com/-cdVOd79t2JY/VtIXz07-09I/AAAAAAAADig/kd1Pkmf8ZcA/s1600/11.png)

vamos a utilizar este diccionario para elaborar nuestro ataque de fuerza bruta.

Código: You are not allowed to view links. Register or Login
[email protected]:~# wpscan --url http://192.168.217.1/wordpress/ --wordlist /root/passwords.txt --username CyberSecRoot
Comprendamos algo :

--wordlist = /root/passwords.txt  (Es el lugar donde esta almacenado nuestro diccionario)

--username CyberSecRoot (Es el nombre de usuario que vamos a obtener su contraseña)

(https://2.bp.blogspot.com/-GzasFurerlw/VtIYnLsRSuI/AAAAAAAADio/BoubrrZ0X60/s1600/01.png)

Vemos que nos salio en blanco "Password", ya que no ha capturado la contraseña porque el "Diccionario" no cuenta en su sintaxis dicha credencial.

Entonces vamos a hacer una prueba elaborada con un diccionario personalizado que lo he sacado de Internet, que es el siguiente:

(https://2.bp.blogspot.com/-PIkd0JPo6OY/VtIaJUJprZI/AAAAAAAADi0/PpV4jR4MHXk/s1600/12.png)

Código: You are not allowed to view links. Register or Login
[email protected]:~# wpscan --url http://192.168.217.1/wordpress/ --wordlist /root/diccionario.txt --username CyberSecRoot
(https://1.bp.blogspot.com/-BrFtfkGnyhQ/VtIa2zPLVfI/AAAAAAAADi4/e1WherzAoMA/s1600/20.png)

Como vemos el ataque de fuerza bruta fue exitoso:

  +----+--------------+------+-------------+
  | Id | Login       | Name | Password    |
  +----+--------------+------+-------------+
  |    | CyberSecRoot |     | universidad |
  +----+--------------+------+-------------+

La contraseña como vemos es "universidad" vamos a probarla:

(https://1.bp.blogspot.com/-2bou23jTOb4/VtIb0mxoxaI/AAAAAAAADjE/8KRX2NfoXVg/s1600/111.png)

(https://1.bp.blogspot.com/-c_qlzRoMAhU/VtIb00AcsUI/AAAAAAAADjI/g340xhZFNIk/s1600/112.png)

(https://4.bp.blogspot.com/-qu78NPIjlOI/VtIb0tnyTBI/AAAAAAAADjA/NSDB62JwIO8/s1600/113.png)

Fue un éxito, el registro de dichas credenciales y método es 100% funcional si la contraseña se encuentra en nuestro diccionario.


Saludos  : )
Título: Re:Brute Force en paneles administrativos en WORDPRESS
Publicado por: Cl0udswX en Mayo 31, 2016, 06:27:56 pm
Muy bien explicado, muy bueno el aporte desde el punto de vista didactico, ya que en la practica no suele ser muy efectivo.

AclararAunque los ataques por diccionarios no suelen funcionar muy bien a menos que atinemos el pass correcto antes de los primero 5 intentos, ya que se bloquea la cuenta. Si le sumamos a eso que algunas personas mas cautelosas (como yo) solemos agregarle un segundo factor de autenticacion (google authenticator, latch, etc...) podriamos decir que es muy dificil consegir el acceso.

Dificil....
No imposible....


Saludos y gracias por compartir.
Título: Re:Brute Force en paneles de administración WordPress con WPScan
Publicado por: BrowserNet en Junio 01, 2016, 01:31:11 am
Buenas noches hermano, aunque de todos esos candados yo me quedo con la app latch de la empresa eleven path, gran contribución hermano, saludos y éxitos en todo  8)