En esta entrada veremos cómo podemos entrar hasta la cocina aprovechándonos de un plugin vulnerable de WordPress y utilizando la técnica del pivoting.
¡Vamos al lío!
En primer lugar escanearemos el dominio donde está la instalación de wordpress para ver que nos encontramos. Utilizaremos la herramienta WPScan, incluida en Kali.
Aquí podemos ver toda la información que obtenemos de la instalación de WordPress, como por ejemplo los themes y plugins. En nuestro caso nos aprovecharemos del último plugin "EasyCart <= 3.0.15 - Unrestricted File Upload", esta vulnerabilidad fue publicada a principios de este año y permite subir archivos sin restricción al servidor.
En los resultados observamos como la gente de rapid7 ya ha escrito un exploit para metasploit.
Estas son las opciones que podemos configurar para este exploit. En este caso solamente necesitaremos configurar los parámetros RHOST y TARGETURI.
Una vez tenemos abierta la sesión de meterpreter lo primero que haremos será lanzar una shell en el servidor comprometido y ver que configuración de red tiene.
Existen dos interfaces de red:
- eth0 192.168.162.0/24 (conocida)
- eth1 192.168.189.0/24 (nueva red)
¿Qué habrá en esa nueva red? ¿Cómo la podemos explorar?
Este problema se resuelve utilizando un auxiliar de escaneo de puertos, elegimos el método TCP, aunque sería posible usar SYN, ACK o XMAS que son métodos menos intrusivos.
Debemos configurar la red que vamos a escanear, los puertos y los hosts. Para agregar la ruta utilizamos el comando route, al cual le especificamos la ruta, máscara y la sesión de meterpreter.
¡Bingo! El host 192.168.189.3 tiene el puerto 22 abierto :D
Ahora, en nuestra sesión de meterpreter lanzamos el comando portfwd que nos va a permitir poner el puerto 25000 en escucha el cual apunta al host 192.168.189.3 en el puerto 22. De esta forma conseguimos acceder a un host, en principio inalcanzable.
Finalmente atacaremos con fuerza bruta al servicio de SSH de dicho servidor. En hydra debemos indicarle que se conecte con nuestro servicio SSH en localhost ubicado en el puerto 25000.
Gracias al port forwarding agregado previamente en metasploit el ataque se rediriga al host 192.168.189.3
Hemos conseguido acceso a un servidor de SSH (en otra red) por medio de un plugin vulnerable de WordPress.
Sed buenos.
@DaniLabs
