Сканирование сервера

Эксплуатация уязвимостей в wordpress сканирование сервера

Надеюсь этот небольшой документ

Эксплуатация уязвимостей в wordpress плагине


Теперь можно изучить сайт и потенциальные уязвимости внимательнее. этичный хакинг Можно это делать и напрямую, но мне удобнее для этого использовать Burp Repeater. Для начала нужно настроить подключение через upstream proxy:


На вкладке User options добавляем Upstream Proxy Server, вводим полученные данные для нашего хоста, настраиваем браузер на Burp proxy, и пробуем различные эксплоиты найденные wpscan-ом.


Эта же возможность позволит использовать утилиты, которые не поддерживают авторизацию в прокси напрямую, если такие понадобятся — достаточно будет указать в виде proxy 127.0.0.1:8080.


Попробовав несколько вариантов, видим что срабатывает одна из SQL


Получаем номер версии MySQL:


Дело за малым — осталось эксплуатировать эту уязвимость с помощью
Так как в данном случае инъекция происходит в имя колонки (а не в значение, как обычно), важно указать суффикс после payload (‘ -- ’) для того, чтобы SQLmap сконцентрировался именно на этом типе инъекции.

Если этого не сделать, SQLmap может ошибочно определить тип инъекции как blind, и в таком случае вытягивать данные будет очень затруднительно и долго.
Получаем доступные базы с использованием опции --dbs:
Затем таблицы (-D tl9_mainsite --tables):


И осталось только получить данные из таблицы wp_token с помощью


Во время сканирования портов обнаружился в том числе и https ресурс на порту 443.

Беглый анализ и утилита dirb ничего интересного не дали:


Ресурс доступен по https, при этом видимо в разработке и давно не обновлялся. проверка на взлом Проверим нашумевшую в 2014-м уязвимость heartbleed:


Сервис уязвим! Для эксплуатации воспользуемся скриптом отсюда:


https://gist.github.com/eelsivart/10174134 . После прочтения множества (не)интересной информации и сотни попыток (главное не сдаваться раньше времени :), находим кое-что интересное:

Кто-то зашел туда и скачал старый бэкап — давайте и мы это сделаем:


Вот и токен, а вместе с ним несколько новых аккаунтов и хеши их паролей.


Пробуем восстановить пароли из хешей (Apache apr1 хеш в hashcat идет под номером 1600):
Получаем уже известный из mainsite пароль b.muncy, а также остальные пароли других аккаунтов.


Очень полезно записывать все найденные учетные данные и пароли, для того чтобы в будущем иметь возможность проверять их быстро изучая новую цель, т.к. пароли пользователей в корпоративной сети с высокой вероятностью будут повторяться от одного сервиса к другому.


Несмотря на предыдущее замечание, к сожалению, ни один из найденных паролей пока что не подошел к почте, что обычно дает очень неплохие результаты в продвижении вглубь корпоративной сети.

Не беда, попробуем подключиться к SSH на порту 22 и
попробовать там. Пробуем, и видим следующую картину:


Довольно необычная ситуация для подключения по SSH — видимо
используется собственный модуль для аутентификации.

Кроме того, обращаем внимание что сис запрашивает сначала “The password”, а потом еще и “Password”.
Пробуем все найденные учетные данные в разных комбинациях — безрезультатно.


Так как ни почта ни SSH не принесли желаемых результатов, а других доступных сервисов больше не остается, видимо мы что-то упустили. сканирование сайта на уязвимости SSH важен еще и тем, что мы получим доступ внутрь корпоративной сети и сможем продвинуться дальше, поэтому нам интересно
сконцентрироваться на нем.


Пробуем еще раз, и видим автора скрипта: Pam (c) krakenwaffe — не
похоже на что-то стандартное.


Ищем это в Google, и вскоре находим аккаунт разработчика krakenwaffe
на Github, который к тому же работает в компании cybear32c — интересно!


Изучив contributions некого Девида, видим единственный файл: mypam.c, расположенный здесь, https://github.com/krakenwaffe/eyelog/blob/master/mypam.c . После беглого анализа кода становится понятно, что это именно тот модуль, в котором мы пытаемся авторизоваться, и который запрашивает у нас “The password”.


Под рутом зайти не получится, смотрим что дальше…
Внимание привлекает следующий участок:
Видим, что введенный пароль проходит сравнение с daypassденьчас. проверка почты на взлом Пробуем подставить текущее значение, а именно “daypass80” на момент написания этого документа:
Все равно не срабатывает…

Тогда вспоминаем как зовут нашего
разработчика, который поделился с нами паролем через Github — David Nash. поиск уязвимостей на сайте Пробуем зайти под d.nash:
Получилось! Мы зашли на SSH сервер.

Посмотрим что есть вокруг:


Помимо токена в папке .ssh также находим и приватный ключ для
подключения к другим серверам (к каким — можно узнать поработав с файлом known_hosts) — наверняка пригодится в дальнейшем!


Теперь мы получаем плацдарм для следующих атак, и перед нами открывается вся корпоративная сеть компании CyBear32C.


После взятия SSH можно выходить на все остальные компьютеры в сети — с какого начать? В первую очередь, стоит просканировать сервер и все три подсети с помощью nmap, любезно предоставленного прямо на сервере SSH и изучить доступные сервисы.


На данном этапе практически все внутренние ресурсы, за исключением Windows-машин и сервера dev будут доступны для атаки — можно пробрасывать порты и пробовать.


Чтобы обеспечить удобный доступ к внутренней сети через вновь появившееся SSH подключение есть множество способов.
В первую очередь рекомендую статью #xAB;Pivoting или проброс портов#xBB; по


Кроме того, полезно знать интересную возможность стандартного SSH клиента — проброс портов без перезапуска сессии и добавления параметров в командную строку.
Для этого достаточно нажать комбинацию Shift+


командный режим работы:
После ввода нужной команды мы получим доступ к 80-му порту
сервера 192.168.0.6 (photo) через порт 8086 на 127.0.0.1:


Надеюсь этот небольшой документ дает достаточно информации
чтобы начать ваше собственное тестирование на проникновение, и проверить на что вы способны в почти настоящей и хорошо защищенной сети компании. Запросы, похожие на «защита от sql-инъекций» В лаборатории 14 токенов, из которых мы пока взяли только три, так что все еще впереди.


Надеюсь вам понравится лаборатория. Она будет доступна до ноября, поэтому времени на обучение будет достаточно. Не сдавайтесь в процессе, и, как говорится, Try Harder.

Похожие статьи Pentest

  • Хакинг и тестирование на проникновение

    В один из тех ясных солнечных дней, что нередко выдаются в Александрии (шт. Виргиния) в конце ноября, на втором этаже скромно обставленного офиса...

  • Комплексный тест на проникновение

    Перед специалистами ИБ встают следующие вопросы: Как проверить ИТ-инфраструктуру компании в условиях реальной кибератаки ? Готова ли служба ИБ к...

  • Хакинг и тестирование на проникновение

    Contents Защита телефона от кражи паролей и взлома хакерами Как защитить мобильный телефон от взлома хакерами и кражи паролей? Contents Защита телефона...

  • Тестирование на проникновение (pentest)

    С каждым днём риски, связанные с информационной безопасностью , растут. безопасность www серверов Злоумышленники, конкуренты, да и просто скучающие...

  • Тесты на проникновение, pentest

    Успешность бизнеса зачастую определяется высоким уровнем сохранности коммерческих секретов, а также иных важных информационных активов. сканирование...