XSS en Plugin UserPro de WordPress

En una revisión de seguridad que me asignaron, me toco auditar varios sitios de WordPress, y mientras revisaba sus plugins me tope con uno el cual le encontré un XSS, y para mi sorpresa este no estaba público en internet :)

En este post quiero compartir con ustedes este simple fallo que encontré

Primero que es un xss según wikipedia: Cross-site scripting es un tipo de vulnerabilidad informática o agujero de seguridad típico de las aplicaciones Web, que puede permitir a una tercera persona inyectar en páginas web visitadas por el usuario código JavaScript

Para empezar usaremos Google Hacking y buscaremos páginas que tengan el plugin User Profile o abreviado userpro

Este fallos afecta en el momento en que el usuario intenta realizar un login, por lo tanto la url que atacamos es la /wp-admin/admin-ajax.php, ya que cuando envía los datos manda un parámetro llamado userpro

(PE) - Inyectando un shellcode en un archivo exe

Inyectando un shellcode en un archivo exe de portable executable

En este post vamos a usar 2 herramientas para infectar un Portable Executable. En un próximo post lo aremos de forma manual para entender mejor el inflo interno y los pasos que realizo la herramienta

Según wikipedia PE: El formato Portable Executable (PE) es un formato de archivo para archivos ejecutables, de código objeto, bibliotecas de enlace dinámico (DLL), archivos de fuentes FON,​ y otros usados en versiones de 32 bit y 64 bit del sistema operativo Microsoft Windows.

Bueno empecemos

Primero  vemos las opciones que tiene el Cave_miner

Ahora verificamos si la aplicación tiene espacios disponible

Hoja de Trucos para Pentester

Me motive a realizar este post a manera de compartir y anotar algunas técnicas que sirven en el momento que uno esta realizando un pentesting

En mi caso, la mayoría de estas técnicas me sirvió de mucho mientras realizaba el curso de Penetration Testing with Kali (PWK)

Cabe mencionar que algunas de esta técnicas también se encuentran en internet y esta es una recolección que he hecho de algunas técnicas muy efectivas

nmap -Pn -v $host
sudo nmap -Pn -v -sC
nmap -Pn -p- $host
nmap -Pn -v -sV --script=banner $host
nmap -Pn -v -sV --script=vulners $host

para ver los scripts de nmap
ls /usr/share/nmap/scripts/

ident-user-enum  $host $puerto $puerto $puerto

nmap -vv -Pn -A -sC -sS -T 4 -p- $host

nc -v -w 1 $host -z 1-1000

herramienta: sparta

whatweb -v http://web

dirb http://web /usr/share/wordlists/dirb/common.txt
dirb http://web /usr/share/wordlists/dirb/big.txt

nikto -C all -h http://web

-- scan puertos UDP

sudo unicornscan -mU -v -I $host
sudo nmap -Pn -sU -p161 $host

---- SERVICIOS

Realizando Pivoting con Metasploit

Realizando Pivoting con Metasploit

Bueno, en este post voy a mostrar algunas cosas que nos pueden servir a la hora que nos toque realizar pivoting ya sea después de una auditoria hecha a algún aplicativo web o en una red local que tenga conexión a otro segmento de red

En este post haremos mención de algunas herramientas como:

Metasploit
Nmap
Proxychains

 Pongamos no manos a la obra

NOTA:  Estas direcciones IP aunque son IP de segmento de red local, la cubriré  ya que son de un desafió que realice y la idea principal de este post, es mostrar algunas técnicas para pivoting.

Vamos a usar metasploit para explotar y tomar acceso a la máquina que tiene la configuración por NAT para saltar al otro segmento de red

Vemos que nuestro exploit funciona y nos da acceso a la máquina 

Algunas Herramientas para Recolección de Información y Enumeración

Estas son algunas herramientas que nos pueden servir a la hora de realizar una revisión de seguridad.

Atemos mansión de algunos breves comandos de cada herramienta y casi todas estas herramientas vienen en la distro de kali o en su repositorio

NOTA: Siempre es recomendable ver todas las opciones de cada herramienta y no solo limitarse a los comandos tradicionales

nmap: Esta es una herramienta muy buena y sirve para recolectar información, enumerar y explotar algunos fallos.

Algunos comandos de los más usados:

- scan para sacar los puertos típicos

nmap -v Host

- Para scanear los 65535 puertos y sin hacer ping

nmap -Pn -p- Host

- Aquí filtramos por el puerto 22 y con la opción para sacar la versión del servicio y el banner que arroja

nmap -p22 -sV --script=banner Host

los script de nmap lo pueden ver en esta ruta
/usr/share/nmap/scripts/

Simples herramientas de fuzzer

En este post, quiero demostrar algunas herramientas con las cual podemos realizar Fuzzing.

Que es el Fuzzing?

Según Wikipedia: Fuzzing es una técnica de prueba de software, a menudo automatizado o semiautomatizado, que implica proporcionar datos inválidos, inesperados o aleatorios a las entradas de un programa de ordenador.

Bueno, cabe aclara que en los post anteriores nosotros realizamos un script el cual fuzzeaba contra nuestras aplicaciones vulnerables

La idea de este post es dar a entender que podemos automatizar el proceso de fuzzing y no es solamente de forma manual

Hay muchas aplicaciones de fuzzing, pero en este caso solo vamos a presentar 2, una que viene en Kali linux y otra que podemos instalar fácilmente

Bueno entonces empecemos

BED (Bruteforce Exploit Detector), es un fuzzer de protocolo de texto plano que comprueba si el software tiene vulnerabilidades comunes como desbordamientos de búfer, errores de cadena de formato, desbordamientos de enteros, etc.

BED soporta los siguientes protocolos
FTP SMTP POP HTTP
IRC IMAP PJL LPD
FINGER SOCKS4 SOCKS5

Exploit SEH

structured exception handler (SEH) o traducido "manejador de excepción estructurado"

Hoy vamos a crear un exploit en seh, y para eso vamos a explotar el Easy File Sharing Web Server 7.2 el cual se puede descargar desde su página oficial

La instalación es como se realiza en windows, siguiente siguiente, usamos la misma máquina que venimos usando desde los post anteriores.

Bueno después de instalado sale esta ventana y elegimos "Try it"



Ahora el programa quedaría así, pero con la dirección ip local de tu máquina



Abrimos nuestro immunity debugger y el proceso seria ese

Notas, Registers, opcode y comandos

Bueno, este post quiero que sea más para aprender algunos conceptos y tener algunas ideas más clara de algunas cosas y definiciones

Estas son la definiciones según wikipedia:

Opcode: En informática, un opcode (operation code) o código de operación, es la porción de una instrucción de lenguaje de máquina que especifica la operación a ser realizada

Assembly: El lenguaje ensamblador, o assembler (en inglés assembly language y la abreviación asm), es un lenguaje de programación de bajo nivel. Consiste en un conjunto de mnemónicos que representan instrucciones básicas para los computadores, microprocesadores, microcontroladores y otros circuitos integrados programables.

Pila o Stack: Una pila (stack en inglés) es una lista ordenada o estrutura de datos que permite almacenar y recuperar datos, el modo de acceso a sus elementos es de tipo LIFO (del inglés Last In, First Out, «último en entrar, primero en salir»).

shellcode: Una shellcode es un conjunto de órdenes programadas generalmente en lenguaje ensamblador y trasladadas a opcodes (conjunto de valores hexadecimales) que suelen ser inyectadas en la pila (o stack) de ejecución de un programa para conseguir que la máquina en la que reside se ejecute la operación que se haya programado.

Los 8 registros de propósito general

EAX - El Acumulador registro: este también acumula el resultado de
los cálculos de la CPU
ECX - El contador de registro: se suele usar en bucle
EDX - El registro de datos: extensión de eax para cálculo más complejos
EBX - El registro base: apoya los cálculos de operaciones
EBP - El puntero de base: indica la base del frame de la pila
ESI - El índice de origen: localización de los datos de entrada
EDI - El índice de destino: donde se almacenan los datos
ESP - El puntero de pila: indica la cima de la pila

Exploiting con EggHunter

Hola a todos, en este caso vamos a usar EggHunter o Cazador de Huevos.

EggHunter en español "Cazador de Huevos", esta es una técnica muy usada cuando no tenemos mucho espacio disponible y nos toca localizar nuestro shellcode en otra parte y tenemos que salir a buscarlo.

Esta técnica, viene de los conocidos huevos de pascua, ya que estos son escondidos y a los niños le toca buscarlo

En este caso vamos a probar con un software peculiar y quise usarlo de ejemplo para explicar el uso de egghunter y su implementación.

Usaremos la misma maquina virtual que hemos estado usando, igual pueden ver la información aquí, pero usaremos el software MiniShare 1.4.1.

Todo listo