Pages

Ads 468x60px

lunes, 21 de diciembre de 2015

Pivotando desde WordPress




En esta entrada veremos cómo podemos entrar hasta la cocina aprovechándonos de un plugin vulnerable de WordPress y utilizando la técnica del pivoting.

¡Vamos al lío!

En primer lugar escanearemos el dominio donde está la instalación de wordpress para ver que nos encontramos. Utilizaremos la herramienta WPScan, incluida en Kali.


Aquí podemos ver toda la información que obtenemos de la instalación de WordPress, como por ejemplo los themes y plugins. En nuestro caso nos aprovecharemos del último plugin "EasyCart <= 3.0.15 - Unrestricted File Upload", esta vulnerabilidad fue publicada a principios de este año y permite subir archivos sin restricción al servidor.

En los resultados observamos como la gente de rapid7 ya ha escrito un exploit para metasploit.

Estas son las opciones que podemos configurar para este exploit. En este caso solamente necesitaremos configurar los parámetros RHOST  y TARGETURI.


Una vez tenemos abierta la sesión de meterpreter lo primero que haremos será lanzar una shell en el servidor comprometido y ver que configuración de red tiene.  


Existen dos interfaces de red:
- eth0 192.168.162.0/24 (conocida)
- eth1 192.168.189.0/24 (nueva red)

¿Qué habrá en esa nueva red? ¿Cómo la podemos explorar?

Este problema se resuelve utilizando un auxiliar de escaneo de puertos, elegimos el método TCP, aunque sería posible usar SYN, ACK o XMAS que son métodos menos intrusivos.

Debemos configurar la red que vamos a escanear, los puertos y los hosts. Para agregar la ruta utilizamos el comando route, al cual le especificamos la ruta, máscara y la sesión de meterpreter.


¡Bingo! El host 192.168.189.3 tiene el puerto 22 abierto :D

Ahora, en nuestra sesión de meterpreter lanzamos el comando portfwd que nos va a permitir poner el puerto 25000 en escucha el cual apunta al host 192.168.189.3 en el puerto 22. De esta forma conseguimos acceder a un host, en principio inalcanzable.







Finalmente atacaremos con fuerza bruta al servicio de SSH de dicho servidor. En hydra debemos indicarle que se conecte con nuestro servicio SSH en localhost ubicado en el puerto 25000.
Gracias al port forwarding agregado previamente en metasploit el ataque se rediriga al host 192.168.189.3

Hemos conseguido acceso a un servidor de SSH (en otra red) por medio de un plugin vulnerable de WordPress.

Sed buenos.

@DaniLabs

0 comentarios:

Publicar un comentario

Creative Commons Licence
1Gb De informacion by Roberto García Amoriz is licensed under a Creative Commons Attribution-NonCommercial 3.0 Unported License.
Based on a work at http://www.1gbdeinformacion.com/.
Permissions beyond the scope of this license may be available at http://www.1gbdeinformacion.com/.

Perfil profesional en Linkedin

 
Blogger Templates