WordPress è certamente uno dei CMS più utilizzati per la realizzazione di siti, blog ed E-commerce. Attaccare un sito WordPress è diventato quindi una consuetudine per gli hacker che tentano di bucare wordpress al fine di prenderne il controllo o utilizzarlo per altri scopi.
Capire quindi come viene hackerato un sito wordpress, ci aiuterà quindi a capire come difenderci adottando le giuste contromisure cercando quindi di limitare le intromissioni al sistema.
Vediamo quindi come attaccare un sito WordPress.
N1: Capiamo se il sito è realizzato con WordPress.
Come primo passaggio, dobbiamo capire se il sito Target utilizza wordpress o meno e per farlo possiamo provare a inserire la url wp-admin subito dopo il nome a dominio per verificare che ci venga restituita la pagina di login di amministrazione.
Un altro metodo più “professionale” è quello di utilizzare WpScan, applicativo pre installato su Kaly Linux.
Diamo quindi il comando
wpscan --url www.sitotarget.xxx
N2 Scoprire il nome utente di Admin con Burpsuite
Questa è una delle parti difficili ovvero scoprire il nome utente di amministrazione di WordPress. Per trovarlo utilizziamo la suite burpsuite dando come comando:
sudo burpsuite
Creiamo quindi un nuovo progetto temporaneo utilizzando i valori predefiniti Burp. Passiamo quindi alla scheda Target -> Scope e facciamo clic su Aggiungi per includere il sito target.
Successivamente, andiamo al menu Preferenze di Firefox e scorriamo fino in fondo trovando Proxy di rete. Fare clic su Impostazioni.
Selezionare quindi la Configurazione proxy manuale e inserire l’IP 127.0.0.1 e la porta 8080. Spuntare “Usa questo server proxy per tutti i protocolli”. Fare clic su OK.
Torniamo quindi su Burpsuite ed apriamo la scheda Proxy. Ora torna alla pagina WP-Login. Immettere un nome utente e una password casuali e fare clic su Accedi.
Dopo aver fatto clic su login, torna a Burpsuite e guarda l’output.
La parte che ci interessa sarà quella costituita da:
log=tizio&pwd=caio&wp-submit=Log+In&redirect_to=http%3A%2F%2Fsitotarget.xxx%2Fwp-admin%2F&testcookie=1Ora abbiamo qualcosa che possiamo da dare in pasto a Hydra.
N 3 : trovare un dizionario di nomi utenti per WordPress
Ora dovremo crearci un file dizionario contenente possibili credenziali. Si può utilizzarne uno già preesistente (come questo: https://crackstation.net/crackstation-wordlist-password-cracking-dictionary.htm) o generarlo in base ad uno studio sul target.
N 4 – Bruteforcing Usernames con Hydra
Giunti a questo punto possiamo utilizzare Hydra per effettuare un attacco bruteforcing alle credenziali WordPress.
Apriamo quindi un finestra di terminale e diamo un:
hydra -V -L dizionario.txt -p whatever 192.168.1.1 http-post-form '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log:F=Invalid username'Analizziamo il comando appena dato:
- -V – Verbose mode
- -L – Il nostro elenco nomi dizionario.txt
- -p whatever – La password, non ci interessa, perché vogliamo scoprire il nome utente
- http -post-form – Il tipo di attacco di forza bruta che vogliamo eseguire
- /wp-login.php – Il percorso della pagina di accesso a WordPress
- log = ^ USER ^ & pwd = ^ PASS ^ & wp-submit = Log + In – I valori che verranno inviati al modulo, dove ^ USER ^ e ^ PASS ^ sono le variabili che verranno prese dal nostro dizionario
Lanciato il comando, Hydra comincerà il suo attacco di forza bruta su WordPress testando tutte le parole presenti nel file dizionario. Se questa è contenuta all’interno del file allora avremo trovato la nostra username.
N 5 : Attacco a forza bruta della password di WordPress
Una volta individuata la username, effettuiamo ora l’attacco a forza bruta sulla password utilizzando sempre Hydra:
wpscan --url http://sitotarget.xxxx/wp-login.php --passwords /usr/share/wordlists/password.txt.gz --usernames admin --wp-content-dir http://sitotarget.xxxx/wp-login.phpAl termine di questa operazione dovremmo aver trovato anche la password di WordPress e quindi ci sarà consentito l’accesso all’interno sistema.
Disclaimer
La guida appena mostrata è da ritenersi a puro scopo didattico effettuato su siti web di cui si dispone della proprietà.
Se non conosci WpScan, puoi trovare un articolo qui: https://simonetocco.it/penetration-testing-scann-wordpress-vulnerability/
