İPUCU

Exploitler Exploit Nedir ? Nasıl Kullanılır Ve Yeni Çıkan Exploitler Hakkında Bilgi ...

Seçenekler

WP Symposium < 15.8 SQL Injection Exploit Kullanımı //By Ghost

By Ghost - ait Kullanıcı Resmi (Avatar)
Green Team
Üyelik tarihi:
07/2013
Nereden:
C:\Linux
Yaş:
23
Mesajlar:
933
Konular:
141
Teşekkür (Etti):
364
Teşekkür (Aldı):
393
Ticaret:
(0) %
bir Hafta önce
#1
WP Symposium < 15.8 SQL Injection Exploit Kullanımı //By Ghost
Merhabalar herkese. Yeni bir seriye başlayacağız inşallah. Bu seride sizlere Wordpress açıklarının nasıl sömürülebileceğini ve bu açıkların nedenini anlatmaya çalışacağım. Tabi her bir açığı ayrı ayrı olabildiğince detaylı bir şekilde anlatmaya gayret edeceğim.

İlk konumuzda anlatacağım açık biraz kolay ve basit olabilir. Giriş seviyesinde serinin başlangıcına uygun olduğunu düşündüm. İnşallah yanılmamışımdır

Gerekenler

Konumuza geçmeden önce Wordpress LAB ortamı kurma ile alakalı hazırladığım konuyu incelemenizde fayda var. Çünkü sizlerinde kendi bilgisayarınızda bunları test edip kendinizi ufak ufak geliştirmenizi istiyoruz. Wordpress LAB ortamı ile alakalı konu için aşağıdaki linke tıklayabilirsiniz.

https://www.turkhackteam.org/linux/1...run-ghost.html


Exploitimiz

WP Symposium kısaca websitenizi sosyal ağa dönüştürmenizi sağlayan bir eklentidir. Bu eklentinin 15.8.1 sürümü ve önceki sürümlerde 'get_album_item.php' dosyasında ciddi bir açık bulunuyor. Me-tasploit üzerinde bu açığı sömürmek için exploit bulunmakta. Konuda me-tasploit üzerinden exploit etmeyi göstereceğim.

Şimdi öncelikle 15.8.1 sürümüne sahip WP Symposium eklentisinin dosyalarını indirmemiz gerekiyor. Bunun için exploit-db'den yardım alacağız. Normalde dosyayı internet üzerinden de bulmanız mümkün.

https://www.exploit-db.com/exploits/37824



Vulnerable App: kısmından gerekli dosyayı bilgisayarımıza indiriyoruz. İndirdiğimiz dosya zip formatında olduğu için zipten çıkarma işlemini yapalım.




Şimdi bu dosyayı xampp içinde daha önce kurduğumuz wordpress lab içine atalım. Bu işlemi elle yapmamız gerekiyor.
Kod:
cp -R wp-symposium/ /opt/lampp/htdocs/wordpress/wp-content/plugins/



Daha sonra eklentimizi panelden etkinleştirelim. Normalde exploit hakkında yazılan yazıda eklentinin etkin olmasının gerekli olmadığını, sadece açıklı dosyanın sitede var olmasının yeterli olduğu söyleniyor. Ama bu exploiti gerçek senaryoya uygun halde anlatmak için etkinleştirmemizde fayda var.
(NOT: Xampp'ın açık olduğundan emin olunuz.)




Buraya kadar eklentimizi lab ortamımıza kurmayı gösterdik. Buradan itibaren olabildiğince gerçek bir hacking/zafiyeti sömürme senaryosuna göre anlatacağım.



Hedef bir sitemiz var. Site hakkında bilgi toplarken sitenin wordpress olduğunu bulduk. Wordpress siteler için pentest araçlarında en popüler aracımız tabiki wpscan. Sitemizde hangi eklentilerin var olduğunu öğrenmek için aşağıdaki komutu terminale girelim.
Kod:
wpscan --url http://localhost/wordpress -e ap



Tarama sonunda wp-symposium eklentisinin var olduğunu öğrendik. Eklenti hakkında bir kaç bilgiyi de bizlere sundu.



Not: Eklenti aktif olmadığı zaman taramada bazen eklentinin olmadığını/bulmadığını söyleyebiliyor. Hedef site olarak düşündüğünüz zaman böyle bir durumla da karşılaşabilme ihtimali var. Onu da göstermek istedim.



İnternette bu eklenti ile alakalı kısa bir araştırma yaptığımızda eklentinin son sürümü 2019'da yayınlandığını görebilirsiniz. wpscan taramasında da bizlere Last Updated: kısmında ve latest version kısmında eklenti hakkında eski ve zafiyetli olduğunu ve bunla alakalı bir exploit kodunun yazıldığını bulduk(internetten). Şimdi bunu sömürebilmek için me-tasploit aracımıza geçelim.
Kod:
msfconsole
Kod:
use auxiliary/admin/http/wp-symposium_sql_injection

(Not: 'search symposium' yazarak arama yapıp wp-symposium_sql_injection'ı görebilirsiniz)



show options komutu ile exploit için gerekli olan parametreleri listeliyoruz. Required kısmı yes olanlar doldurulması gereken parametreler. Burada sadece RHOSTS kısmı boş. Ama hedef sitemiz /wordpress dizini altında olduğu için biz TARGETURI kısmını da düzenleyeceğiz. Aşağıdaki komutları sırasıyla girelim.
Kod:
set RHOSTS localhost
Kod:
set TARGETURI /wordpress
Kod:
run



Gördüğünüz gibi exploitimiz çalıştırdığımızda eklenti üzerindeki SQL açığı sayesinde bize user tablo bilgilerini getirdi Sırasıyla username-password-email bilgileri mevcut. Fakat şifre hash'li durumda. Eğer şifreyi kırmayı başarırsak panele erişebiliriz. Bunun için hash'li şifremizi kopyalayıp yeni bir terminalde aşağıdaki komutları girelim.
Kod:
touch sifrekir
Kod:
echo 'HASHLISIFRE' > sifrekir
Kod:
john --wordlist=/usr/share/wordlists/rockyou.txt sifrekir



10 dakika john aracımızın şifreyi bulmasını bekledikten sonra şifreyi bulabildik.

Unutmayınız ki şifreyi bulamadığınız hedef sitelerde olabilir. Burada sizlere örnek olması açısından şifreyi bulunabilir bişi yapmıştım.

Peki Nasıl Oldu Bu Olay?
Şimdi belirli aşamalardan sonra zafiyetli bir eklentinin pentest araçları sayesinde sömürmeyi anlattık. Ancak bunun nasıl yapıldığını, mantığını bilemezseniz bi anlamı olmaz. Pentest veya diğer adıyla hacking araçları (ikinci tabire bende karşıyım bana kızmayın ile hacklemek bizi ileri götürmez. Tabi bu araçlar bize yardımcı oluyor. Ama asıl olay mantığını bilmekte.

Bu zafiyetin bulunduğu dosyaya göz atalım. Bu dosyayı açmak için terminale aşağıdaki komutu girebilirsiniz.
Kod:
subl /opt/lampp/htdocs/wordpress/plugins/wp-symposium/get_album_item.php



$_REQUEST değişkeni GET ve POST metodlarının ikisi ile de gönderilen verilerin sonuçlarına ulaşabilir. Global bir değişkendir. Kod yapımızda da $iid ve $size parametrelerini GET olarak alıyor. Burada REQUEST değişkenimiz kontrolsüz bir halde. Bir de üstüne üstlük $sql değişkenine tanımlanmış SELECT sorgusu da güvensiz yazılmış. Burada önemli olan nokta $size değişkeni. Zira kodda .$size. şeklinde birleştirme yapılmış. PHP'de . birleştirmeye yarıyor.

Sorguyu incelediğimiz zaman $size değişkenine öyle bir değer/komut verelim ki bizim yazdığımız komut çalışsın. Öncelikle REQUEST global değişkenin GET olarak veri alıp almadığını kontrol edelim. Bunun için kodda resimdeki gibi düzenleme yapıp kaydedelim.

Kod:
. . . var_dump($size); exit();. . . .


Tarayıcımıza gelip url kısmına GET isteği yapan bir link verelim. REQUEST değişkeni ile iid ve size parametreleri alındığı için bunlardan birini kullanmanız gerekmekte.
localhost/wordpress/wp-content/plugins/wp-symposium/get_album_item.php?size=turkhackteam




Gördüğünüz gibi $size parametresine verdiğim string ifadeyi ekrana yazdırabildik. Dolayısıyla $size değişkenine komut da girebilirim. Anlaşılması açısından şimdi de javasript kodu girelim.
localhost/wordpress/wp-content/plugins/wp-symposium/get_album_item.php?size=<script>alert(10)</script>




Gördüğünüz gibi REQUEST değişkeni hiçbir şekilde kontrol edilmemiş dümdüz alıyor. $size parametresine gerekli sql bypass komutları girilerek tablodan veri okunabilir durumda.

Aklınızda şöyle bir soru oluşabilir. Exploit konusunda sql injection yapıldığını gördük. Burada neden script kodu yazdık diyebilirsiniz. get_album_item.php dosyasındaki kodlara bakacak olursanız eğer $sql değişkenine atanmış SELECT sorgusunda $size değişkeni kullanılmakta ve SELECT sorgusunun ortasında kullanılıyor. Yazılan exploit'te bu sorguyu manipüle ederek users tablosunu okuyor. Exploit ruby dili ile yazıldığı için onu gerektiği gibi analiz edemedim kodu tam kavrayamadım. Bunun için sizlerden özür dilerim.

Wordpress'te yazılan eklentiler bir nevi açık kaynaklı olduğu için kodları inceleyip zafiyet keşfedilebilir. Biz bu seride bu zafiyetler için yazılmış exploitlerin kullanımlarını ve ufakta olsa mantığını anlatmaya gayret edeceğiz.

Elimden geldiğince sizlere WP Symposium eklentisini ile alakalı exploiti ve açığın mantığını anlatmaya gayret ettim. Eksikler veya yanlışlar olabilir yorum yazarak beni uyarırsanız sevinirim. Şürçilisan ettiysem affola başka bir exploit konusunda görüşmek üzere Allah'a emanet olun



---------------------
Öfkene hakim olamıyorsan;
Niye yaşıyorsun?

-->Muslims Freedom!!!<--
Konu By Ghost tarafından (bir Hafta önce Saat 22:55 ) değiştirilmiştir.
"P4RS, Xowly, VaTanSevDal Teşekkür etti.
Xowly - ait Kullanıcı Resmi (Avatar)
Junior Green Team
Üyelik tarihi:
06/2019
Nereden:
ғ˦
Mesajlar:
243
Konular:
52
Teşekkür (Etti):
216
Teşekkür (Aldı):
131
Ticaret:
(0) %
bir Hafta önce
#2
Cevap: WP Symposium < 15.8 SQL Injection Exploit Kullanımı //By Ghost
Sağlam bir konu olmuş, ellerinize sağlık
---------------------
Şimdi git ve yok et, Akame!
"P4RS - ait Kullanıcı Resmi (Avatar)
Green Team Lideri
Üyelik tarihi:
01/2017
Nereden:
Balkes
Yaş:
18
Mesajlar:
4.190
Konular:
394
Teşekkür (Etti):
848
Teşekkür (Aldı):
1808
Ticaret:
(0) %
bir Hafta önce
#3
Cevap: WP Symposium < 15.8 SQL Injection Exploit Kullanımı //By Ghost
Ellerine sağlık Ghost Diğer exploit konuları da bu şekilde yapılması dileğimle
---------------------

Twitter Telegram

"Kalk haydi, ebediyen uyuyacağız zaten"
16player16 - ait Kullanıcı Resmi (Avatar)
Moderatör
Üyelik tarihi:
02/2016
Nereden:
google
Yaş:
81
Mesajlar:
4.584
Konular:
415
Teşekkür (Etti):
58
Teşekkür (Aldı):
507
Ticaret:
(0) %
bir Hafta önce
#4
Cevap: WP Symposium < 15.8 SQL Injection Exploit Kullanımı //By Ghost
eline sağlık
---------------------
Düşmanının bilmemesi gereken şeyi dostuna söyleme






xbaytar - ait Kullanıcı Resmi (Avatar)
Basın & Medya Ekibi (Stajyer)
Üyelik tarihi:
11/2019
Nereden:
Eskişehir
Mesajlar:
530
Konular:
8
Teşekkür (Etti):
97
Teşekkür (Aldı):
119
Ticaret:
(0) %
bir Hafta önce
#5
Cevap: WP Symposium < 15.8 SQL Injection Exploit Kullanımı //By Ghost
Elinize sağlık hocam.
---------------------
Bana ulaşın

Basın & Medya Editörü
By Ghost - ait Kullanıcı Resmi (Avatar)
Green Team
Üyelik tarihi:
07/2013
Nereden:
C:\Linux
Yaş:
23
Mesajlar:
933
Konular:
141
Teşekkür (Etti):
364
Teşekkür (Aldı):
393
Ticaret:
(0) %
bir Hafta önce
#6
Cevap: WP Symposium < 15.8 SQL Injection Exploit Kullanımı //By Ghost
Alıntı:
Xowly´isimli üyeden Alıntı Mesajı göster
Sağlam bir konu olmuş, ellerinize sağlık
Alıntı:
"P4RS´isimli üyeden Alıntı Mesajı göster
Ellerine sağlık Ghost Diğer exploit konuları da bu şekilde yapılması dileğimle
Alıntı:
16player16´isimli üyeden Alıntı Mesajı göster
eline sağlık
Alıntı:
xbaytar´isimli üyeden Alıntı Mesajı göster
Elinize sağlık hocam.
Hepinize güzel yorumlarınız teşekkürler umarım devamı daha güzel olur
---------------------
Öfkene hakim olamıyorsan;
Niye yaşıyorsun?

-->Muslims Freedom!!!<--

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı