Cracking di Wordpress
Se ne parlava ieri su questo post: come si potesse sfruttare la tecnica descritta nello stesso articolo. La domanda più ricorrente è stata “Come raggiungere l’hash della password dell’account wordpress vittima?”.
Rispondo indirettamente, facendo qualche esempio di fatti recenti e qualche ricollegamento alle news riguardanti la sicurezza dei CMS:
Circa un mese fa annunciavo il defacing di Linuxfeed da parte di un Cracker. Andrea Olivato, nonché l’amministratore del blog vittima (che funge da feeds aggregator, ve lo consiglio), c’ha onorato rispondendo al mio post:
Questo è uno dei tanti modi attraverso i cracker operano per giungere alla manomissione di un blog.
Ma principalmente la tecnica più comune per la ricerca dell’hash della password dell’amministratore e per il defacing è l’uso di un semplice Exploit.
La versione 2.5 di wordpress è soggetta ad alcune falle critiche:
La pima: Un utente registrato ad un blog, anche se non ne ha i permessi può arrivare a creare altri account. Potete trovare una patch qua.
La seconda: Questa falla è ben più critica; Il problema viene definito un multiple SQL injection: dal form del commento è possibile inserire del codice malevolo, rendendo così possibile la modifica e l’estrazione di dati sensibili dal database. La patch a tale problema la trovate qua.
Questi sono 2 esempi, le ultime vulnerabilità e i rispettivi exploit da utilizzare li potete trovare su Milw0rm, Metasploit e SecurityFocus… i migliori siti nel mondo in campo di vulnerabilità e exploit.
Per gli exploit riguardanti wordpress ne trovate tantissimi qua, qua e qua.
Ma cos’è esattamente un Exploit?
Wikipedia dice:
Un exploit è un termine usato in informatica per identificare un codice che, sfruttando un bug o una vulnerabilità, porta all’acquisizione di privilegi o al denial of service di un computer. Continua…
Quindi a questo punto ci è chiaro che il miglior metodo per arrivare all’hash della password di un account wordpress è l’utilizzo di un Exploit, ovvero un codice malevolo che sfruttando le vulnerabilità del blog vittima ricava l’hash. L’hash, per chi non lo sapesse, è la password crittografata dell’account.
Le vulnerabilità dei vostri blog possono dipendere dalla versione del CMS wordpress, i plugins e le widget da voi utilizzati.
Se avete sfogliato i siti da me proposti come gli archivi di exploit avrete sicuramente notato che ogni exploit corrisponde a una diversa versione della piattaforma vulnerabile. Esempio: Esistono exploit per phpBB 1.0, phpBB 2.0 e phpBB 3.0. Ora, se visitate un forum o un sito sviluppato con una determinata piattaforma (che viene detta CMS), noterete già da subito che in fondo alla pagina spesso non vi è segnalata la versione del CMS in uso da tale sito. Come scoprirla allora? Ho creatp appositamente un post qua.
Direi che questa è una raccolta delle basi che bisognerebbe sempre sapere in campo di sicurezza, sopratutto se si gestisce un blog che hosta su un dominio autonomo. Sono quasi nulli i pericoli per uno che risiede su wordpress.com.
Spero di esservi stato utile 
Alla prossima.
Se vuoi inserire un commento, per favore completa il form sottostante.
Il contenuto di questo sito web è pubblicato sotto una Licenza Creative Commons.
Articolo originale
Si abbiamo risolto ora ora… purtroppo non era un classico defacciamento in cui veniva posta una index.html di fronte alla index.php, così da mostrare il messaggio dell’hacker.
In questo caso chi ha usato l’exploit ha cercato i plugin di default di wordpress (akismet e hello dolly) e ne ha modificato i files (che erano 777 per consentire la modifica da piattaforma) cancellandone completamente il contenuto e sostituendolo con il loro codice.
Essendo akismet incluso ovunque ecco il defacciamento completo del sito.
Certo di hacker questo attacco ha veramente poco.