Capire quindi come viene hackerato un sito wordpress, ci aiuterà quindi a capire come difenderci adottando le giuste contromisure cercando quindi di limitare le intromissioni al sistema.

Vediamo quindi come attaccare un sito WordPress.

N1: Capiamo se il sito è realizzato con WordPress.

Come primo passaggio, dobbiamo capire se il sito Target utilizza wordpress o meno e per farlo possiamo provare a inserire la url wp-admin subito dopo il nome a dominio per verificare che ci venga restituita la pagina di login di amministrazione.

Un altro metodo più “professionale” è quello di utilizzare WpScan, applicativo pre installato su Kaly Linux.

Diamo quindi il comando

wpscan --url www.sitotarget.xxx

N2 Scoprire il nome utente di Admin con Burpsuite

Questa è una delle parti difficili ovvero scoprire il nome utente di amministrazione di WordPress. Per trovarlo utilizziamo la suite burpsuite dando come comando:

sudo burpsuite

Creiamo quindi un nuovo progetto temporaneo utilizzando i valori predefiniti Burp. Passiamo quindi alla scheda Target -> Scope e facciamo clic su Aggiungi per includere il sito target.

Successivamente, andiamo al menu Preferenze di Firefox e scorriamo fino in fondo trovando Proxy di rete. Fare clic su Impostazioni.

Selezionare quindi la Configurazione proxy manuale e inserire l’IP 127.0.0.1 e la porta 8080. Spuntare “Usa questo server proxy per tutti i protocolli”. Fare clic su OK.

Torniamo quindi su Burpsuite ed  apriamo la scheda Proxy. Ora torna alla pagina WP-Login. Immettere un nome utente e una password casuali e fare clic su Accedi. 

Dopo aver fatto clic su login, torna a Burpsuite e guarda l’output.

La parte che ci interessa sarà quella costituita da:

log=tizio&pwd=caio&wp-submit=Log+In&redirect_to=http%3A%2F%2Fsitotarget.xxx%2Fwp-admin%2F&testcookie=1

Ora abbiamo qualcosa che possiamo da dare in pasto a Hydra.

N 3 : trovare un dizionario di nomi utenti per WordPress

Ora dovremo crearci un file dizionario contenente possibili credenziali. Si può utilizzarne uno già preesistente (come questo: https://crackstation.net/crackstation-wordlist-password-cracking-dictionary.htm) o generarlo in base ad uno studio sul target.

N 4 – Bruteforcing  Usernames con Hydra

Giunti a questo punto possiamo utilizzare Hydra per effettuare un attacco bruteforcing alle credenziali WordPress.

Apriamo quindi un finestra di terminale e diamo un:

hydra -V -L dizionario.txt -p whatever 192.168.1.1 http-post-form '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log:F=Invalid username'

Analizziamo il comando appena dato:

• -V – Verbose mode
• -L – Il nostro elenco nomi dizionario.txt
• -p whatever – La password, non ci interessa, perché vogliamo scoprire il nome utente
  • http -post-form – Il tipo di attacco di forza bruta che vogliamo eseguire
  • /wp-login.php – Il percorso della pagina di accesso a WordPress
  • log = ^ USER ^ & pwd = ^ PASS ^ & wp-submit = Log + In – I valori che verranno inviati al modulo, dove ^ USER ^ e ^ PASS ^ sono le variabili che verranno prese dal nostro dizionario

Lanciato il comando, Hydra comincerà il suo attacco di forza bruta su WordPress testando tutte le parole presenti nel file dizionario. Se questa è contenuta all’interno del file allora avremo trovato la nostra username.

N 5 : Attacco a forza bruta della password di WordPress

Una volta individuata la username, effettuiamo ora l’attacco a forza bruta sulla password utilizzando sempre Hydra:

wpscan --url http://sitotarget.xxxx/wp-login.php --passwords /usr/share/wordlists/password.txt.gz --usernames admin --wp-content-dir http://sitotarget.xxxx/wp-login.php

Al termine di questa operazione dovremmo aver trovato anche la password di WordPress e quindi ci sarà consentito l’accesso all’interno sistema.

Disclaimer

La guida appena mostrata è da ritenersi a puro scopo didattico effettuato su siti web di cui si dispone della proprietà.

Se non conosci WpScan, puoi trovare un articolo qui: https://simonetocco.it/penetration-testing-scann-wordpress-vulnerability/

Hai bisogno di una consulenza o assistenza?

Apri un ticket di richiesta, ti risponderò in brevissimo tempo! Chiedere non costa nulla

Apri Richiesta

L'articolo Attaccare un sito WordPress: Hackerare e Bucare WordPress con wpscan sembra essere il primo su .