HACKING WORDPRESS

HACKING WORDPRESS

WordPress’e Genel Bakış

WordPress, dünyadaki tüm web sitelerinin yaklaşık üçte birine güç veren en popüler açık kaynaklı İçerik Yönetim Sistemidir (CMS).

WordPress PHP ile yazılmıştır ve genellikle arka uç olarak MySQL ile Apache üzerinde çalışır.

CMS nedir?

CMS, her şeyi sıfırdan kodlamaya (hatta kod yazmayı bilmeye) gerek kalmadan bir web sitesi oluşturmaya yardımcı olan güçlü bir araçtır.

Çoğu CMS, kullanıcıların içeriği Microsoft Word gibi bir kelime işlem aracında çalışıyormuş gibi düzenleyebilecekleri zengin bir What You See Is What You Get (WYSIWYG) editörü sağlar.

Kullanıcılar bir yönetim portalı ya da FTP veya SFTP aracılığıyla web sunucusuyla etkileşim kurmak yerine doğrudan bir medya kütüphanesi arayüzünden medya yükleyebilirler.

WordPress Yapısı
WordPress bir Windows, Linux veya Mac OSX sunucusuna kurulabilir. Bu modülde, Ubuntu Linux web sunucusunda varsayılan bir WordPress kurulumuna odaklanacağız. WordPress, bir Linux sunucusuna kurulmadan önce tam olarak kurulmuş ve yapılandırılmış bir LAMP stack (Linux işletim sistemi, Apache HTTP Sunucusu, MySQL veritabanı ve PHP programlama dili) gerektirir. Kurulumdan sonra, WordPress’i destekleyen tüm dosya ve dizinlere /var/www/html adresinde bulunan webroot’tan erişilebilir.

Aşağıda, web sitesinin düzgün çalışması için gerekli olan temel dosyaları ve alt dizinleri gösteren varsayılan bir WordPress kurulumunun dizin yapısı bulunmaktadır.

File Structure

Anahtar WordPress Dosyaları

WordPress’in root dizini, WordPress’i doğru çalışacak şekilde yapılandırmak için gereken dosyaları içerir.

Bu dosya, giriş sayfasını bulmayı daha zor hale getirmek için yeniden adlandırılabilir.

WordPress Yapılandırma Dosyası

wp-config.php dosyası, WordPress’in veritabanına bağlanmak için ihtiyaç duyduğu veritabanı adı, veritabanı ana bilgisayarı, kullanıcı adı ve parola, kimlik doğrulama anahtarları ve salts gibi bilgileri ve veritabanı tablo önekini içerir. Bu yapılandırma dosyası, sorun gidermede yararlı olabilecek DEBUG modunu etkinleştirmek için de kullanılabilir.

wp-config.php

Önemli WordPress Dizinleri

wp-content klasörü eklentilerin ve temaların depolandığı ana dizindir. uploads/ alt dizini genellikle platforma yüklenen tüm dosyaların depolandığı yerdir. Bu dizinler ve dosyalar, uzaktan kod yürütülmesine veya diğer güvenlik açıklarından ya da yanlış yapılandırmalardan yararlanılmasına yol açabilecek hassas veriler içerebileceğinden dikkatle numaralandırılmalıdır.

WP-Content

WP-Includes

WordPress Kullanıcı Rolleri

Standart bir WordPress kurulumunda beş tür kullanıcı vardır.

Sunucuda kod yürütme elde etmek için genellikle yönetici olarak erişim kazanmak gerekir. Ancak, editörler ve yazarlar normal kullanıcıların erişemediği bazı güvenlik açığı olan eklentilere erişebilir

WordPress Çekirdek Sürüm Numaralandırma

Numaralandırma aşamasının önemli bir parçası da yazılım sürüm numarasının ortaya çıkarılmasıdır. Bu, bir uygulamanın belirli sürümleri için ayarlanmış olabilecek varsayılan parolalar gibi yaygın yanlış yapılandırmaları ararken ve belirli bir sürüm numarası için bilinen güvenlik açıklarını ararken faydalıdır. İlk ve en kolay adım sayfanın kaynak kodunu incelemektir.

Tarayıcıda [CTRL + F] kısayolunu kullanarak meta generator etiketini arayabilir veya bu bilgiyi filtrelemek için komut satırından grep ile birlikte cURL’yi kullanabiliriz.

Sürüm bilgilerinin yanı sıra, kaynak kodu yararlı olabilecek yorumlar da içerebilir. CSS (stil sayfaları) ve JS (JavaScript) bağlantıları da sürüm numarası hakkında ipuçları sağlayabilir.

WP Version — CSS

WP Version — JS

Eski WordPress sürümlerinde, sürüm bilgilerini ortaya çıkarmak için bir başka kaynak da WordPress’in root dizinindeki readme.html dosyasıdır.

Plugins and Themes Enumeration

Ayrıca, sayfa kaynağını inceleyerek veya cURL ve diğer komut satırı yardımcı programlarını kullanarak bilgi için filtreleme yaparak kaynak kodunu manuel olarak inceleyerek yüklü pluginler hakkında bilgi bulabiliriz.

Themes

Yanıt başlıkları belirli pluginler için sürüm numaraları da içerebilir.

Ancak, yüklü tüm plugin ve temalar pasif olarak keşfedilemez. Bu durumda, bunları listelemek için sunucuya aktif olarak istek göndermemiz gerekir. Bunu, sunucuda var olabilecek bir dizini veya dosyayı işaret eden bir GET isteği göndererek yapabiliriz. Dizin ya da dosya mevcutsa, ya dizine ya da dosyaya erişim kazanırız ya da web sunucusundan içeriğin mevcut olduğunu belirten bir yönlendirme yanıtı alırız. Ancak, bu içeriğe doğrudan erişimimiz yoktur.

Plugins Active Enumeration

Eğer içerik mevcut değilse, 404 Not Found hatası alırız.

Aynı durum yüklü temalar için de geçerlidir.

Numaralandırmayı hızlandırmak için basit bir bash betiği yazabilir veya işlemi otomatikleştiren wfuzz veya WPScan gibi bir araç kullanabiliriz.

Dizin İndeksleme

Bir WordPress web sitesini değerlendirirken tek odak noktamız aktif eklentiler olmamalıdır. Bir eklenti devre dışı bırakılmış olsa bile, hala erişilebilir olabilir ve bu nedenle ilişkili komut dosyalarına ve işlevlerine erişebiliriz. Güvenlik açığı olan bir eklentinin devre dışı bırakılması WordPress sitesinin güvenliğini artırmaz. Kullanılmayan eklentileri kaldırmak ya da güncel tutmak en iyi uygulamadır.

Aşağıdaki örnekte devre dışı bırakılmış bir eklenti gösterilmektedir.

Plugins dizinine göz atarsak, Mail Masta eklentisine hala erişimimiz olduğunu görebiliriz.

Ayrıca cURL kullanarak dizin listesini görüntüleyebilir ve html2text kullanarak HTML çıktısını okunabilir bir biçime dönüştürebiliriz.

Bu erişim türüne Dizin İndeksleme denir. Klasörde gezinmemizi ve hassas bilgiler veya savunmasız kod içerebilecek dosyalara erişmemizi sağlar. Web sunucularında dizin indekslemeyi devre dışı bırakmak en iyi uygulamadır, böylece potansiyel bir saldırgan web sitesinin düzgün çalışması için gerekli olanlar dışında herhangi bir dosya veya klasöre doğrudan erişim sağlayamaz.

Makine Çözümü 1-

Soru : WordPress Yapısı bölümünde tartışılan temel WordPress dizinlerini aklınızda bulundurun. İçeriği listelenebilecek tüm dizinler için hedefi manuel olarak numaralandırın. Bu dizinlere göz atın ve flag.txt dosya adına sahip bir bayrak bulun ve içeriğini yanıt olarak gönderin.

Cevap :

1-Dizin indeksleme klasör bazında devre dışı bırakılır. Bazen alt dizinler, ebeveynleri devre dışı bırakılmış olsa bile dizin indeksleme özelliğine sahip olabilir.

User Enumeration

Manuel kullanıcı adı numaralandırması yapmak için iki yöntem vardır.

Birinci Yöntem

İlk yöntem, kullanıcıya atanan kimliği ve ilgili kullanıcı adını ortaya çıkarmak için gönderileri incelemektir. Aşağıdaki resimde gösterildiği gibi fareyi “by admin” başlıklı gönderi yazarı bağlantısının üzerine getirirsek, web tarayıcısının sol alt köşesinde kullanıcının hesabına giden bir bağlantı görünür.

Yönetici kullanıcıya genellikle 1 kullanıcı kimliği atanır. URL’deki yazar parametresi için kullanıcı kimliğini belirterek bunu doğrulayabiliriz.

http://blog.inlanefreight.com/?author=1

Bu işlem komut satırından cURL ile de yapılabilir. Aşağıdaki çıktıdaki HTTP yanıtı, kullanıcı kimliğine karşılık gelen yazarı gösterir. Location başlığındaki URL, bu kullanıcı kimliğinin admin kullanıcısına ait olduğunu doğrulamaktadır.

Mevcut Kullanıcı

Yukarıdaki cURL isteği daha sonra bizi kullanıcının profil sayfasına veya ana giriş sayfasına yönlendirir. Eğer kullanıcı mevcut değilse, 404 Not Found hatası alırız.

Mevcut Olmayan Kullanıcı

İkinci Yöntem

İkinci yöntem, bir kullanıcı listesi elde etmemizi sağlayan JSON uç noktası ile etkileşim gerektirir. Bu, 4.7.1 sürümünden sonra WordPress çekirdeğinde değiştirildi ve sonraki sürümler yalnızca bir kullanıcının yapılandırılmış olup olmadığını gösterir. Bu sürümden önce, bir gönderi yayınlamış olan tüm kullanıcılar varsayılan olarak gösteriliyordu.

JSON Endpoint

Makine Çözümü 2-

Soru : Son cURL komutundan, Kullanıcı Kimliği 2'ye hangi kullanıcı adı atanmıştır?)

Cevap : ch4p

Login

Geçerli kullanıcıların bir listesini elde ettikten sonra, WordPress backend’ine erişim sağlamaya çalışmak için bir password brute-forcing saldırısı düzenleyebiliriz. Bu saldırı oturum açma sayfası veya xmlrpc.php sayfası üzerinden gerçekleştirilebilir.

xmlrpc.php’ye yönelik POST isteğimiz geçerli kimlik bilgileri içeriyorsa, aşağıdaki çıktıyı alırız:

cURL — POST Request

Eğer kimlik bilgileri geçerli değilse, 403 faultCode hatası alırız.

Makine Çözümü 3-

Soru : “WordPress xmlrpc saldırıları” için arama yapın ve tüm method çağrılarını yürütmek için nasıl kullanılacağını öğrenin. Cevap olarak hedefinizin olası yöntem çağrılarının sayısını girin.

Cevap : 80

1-curl kullanarak method name’ini kaç adet olduğunu alabiliriz. Fakat manuel saymak yerine bir sonraki koduda kullanabiliriz.

Script : curl -s -X POST -d ‘<?xml version=”1.0"?><methodCall><methodName>system.listMethods</methodName><params></params></methodCall>’ http://94.237.58.211:51833/xmlrpc.php | grep -o ‘<string>[^<]*</string>’ | sed ‘s/<string>\(.*\)<\/string>/\1/’ | wc -l

WPScan’i Kullanma

WPScan otomatik bir WordPress tarayıcı ve numaralandırma aracıdır. Bir WordPress sitesi tarafından kullanılan çeşitli temaların ve eklentilerin eski veya savunmasız olup olmadığını belirler.

Güvenlik açığı olan pluginler, tüm pluginler, kullanıcı numaralandırma ve daha fazlası gibi belirtilebilecek çeşitli numaralandırma seçenekleri vardır. Kullanabileceğimiz tüm seçenekleri anlamak ve hedefe bağlı olarak tarayıcıya ince ayar yapmak önemlidir (yani, sadece WordPress sitesinin herhangi bir savunmasız plugin kullanıp kullanmadığını mı görmek istiyoruz, sitenin tüm yönlerinin tam bir denetimini mi yapmamız gerekiyor yoksa sadece kaba kuvvet şifre tahmin saldırısında kullanmak için bir kullanıcı listesi oluşturmakla mı ilgileniyoruz?)

WPScan, taramalarımızı geliştirmek için harici kaynaklardan güvenlik açığı bilgilerini çekebilir. WPVulnDB’den, WPScan tarafından güvenlik açığı taraması yapmak ve kavram kanıtlarından (POC) ve raporlardan yararlanmak için kullanılan bir API belirteci alabiliriz.

Ücretsiz plan, günde en fazla 50 isteğe izin verir. WPVulnDB veritabanını kullanmak için bir hesap oluşturmanız ve kullanıcılar sayfasından API belirtecini kopyalamanız yeterlidir. Bu belirteç daha sonra — api-token parametresi kullanılarak WPScan’e verilebilir.

WPScan Enumeration

WPScan ile Bir Web Sitesini Numaralandırma
— enumerate bayrağı WordPress uygulamasının eklentiler, temalar ve kullanıcılar gibi çeşitli bileşenlerini listelemek için kullanılır. Varsayılan olarak, WPScan savunmasız eklentileri, temaları, kullanıcıları, medyayı ve yedekleri numaralandırır. Ancak, numaralandırmayı belirli bileşenlerle kısıtlamak için belirli argümanlar sağlanabilir. Örneğin, — enumerate ap argümanları kullanılarak tüm eklentiler numaralandırılabilir. Bir WordPress web sitesine karşı normal bir numaralandırma taraması çalıştıralım.

Not: Kullanılan varsayılan iş parçacığı sayısı 5'tir, ancak bu değer “-t” bayrağı kullanılarak değiştirilebilir.

WPScan Enumeration

Makine Çözümü 4-

Soru : Yüklü tüm eklentiler için sağlanan WordPress örneğini numaralandırın. Hedefe karşı WPScan ile bir tarama gerçekleştirin ve “photo-gallery” adlı savunmasız eklentinin sürümünü gönderin.

Cevap : 1.5.34

Güvenlik Açığı Bulunan Bir Eklentiden Yararlanma
WPScan Sonuçlarından Yararlanma

WPScan tarafından oluşturulan rapor bize web sitesinin eski bir WordPress sürümü (5.3.2) ve Twenty Twenty adlı eski bir tema kullandığını söylüyor. WPScan, Mail Masta 1.0 ve Google Review Slider olmak üzere iki savunmasız eklenti tespit etmiştir. Mail Masta eklentisinin bu sürümünün SQL Enjeksiyonunun yanı sıra Yerel Dosya Ekleme (LFI) konusunda da savunmasız olduğu bilinmektedir. Rapor çıktısı ayrıca, bu güvenlik açıklarından nasıl yararlanılacağı hakkında bilgi sağlayan PoC’lere URL’ler içerir.

Bu exploit-db raporuna dayanarak LFI’den yararlanılıp yararlanılamayacağını doğrulayalım. Açık, kimliği doğrulanmamış herhangi bir kullanıcının yerel dosyaları yol üzerinden okuyabileceğini belirtir: /wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/etc/passwd.

LFI using Browser

Bu güvenlik açığını komut satırında cURL kullanarak da doğrulayabiliriz.

LFI using cURL

Makine Çözümü -5

Soru : Hedefinize karşı aynı LFI güvenlik açığını kullanın ve “/etc/passwd” dosyasının içeriğini okuyun. Sistemde oturum açma kabuğuna sahip tek root olmayan kullanıcıyı bulun.

Cevap : sally.jones

WordPress User Bruteforce

WPScan, kullanıcı adlarını ve parolaları brute force yapmak için kullanılabilir. Tarama raporu, web sitesinde kayıtlı üç kullanıcı döndürdü: admin, roger ve david. Araç, xmlrpc ve wp-login olmak üzere iki tür oturum açma kaba kuvvet saldırısı kullanır. Wp-login yöntemi normal WordPress giriş sayfasını kaba kuvvete zorlamaya çalışırken, xmlrpc yöntemi /xmlrpc.php üzerinden giriş denemeleri yapmak için WordPress API’sini kullanır. Daha hızlı olduğu için xmlrpc yöntemi tercih edilir.

WPscan — XMLRPC

Makine Çözümü 6-

Soru :“rockyou.txt” kelime listesi ile hedefinizdeki “roger” kullanıcısına karşı bir bruteforce saldırısı gerçekleştirin. Kullanıcının şifresini cevap olarak gönderin.

Cevap : lizard

Kullandığımız kod : wpscan — password-attack xmlrpc -t 20 -U roger -P /usr/share/wordlists/rockyou.txt — url http://94.237.58.211:42467

Tema Düzenleyicisi aracılığıyla Remote Code Execution (RCE)

WordPress Backend’e Saldırma

WordPress’e yönetici erişimiyle, sistem komutlarını çalıştırmak için PHP kaynak kodunu değiştirebiliriz. Bu saldırıyı gerçekleştirmek için WordPress’e yönetici kimlik bilgileriyle giriş yapın, bu bizi yönetici paneline yönlendirecektir. Yan paneldeki Appearance’ e tıklayın ve Theme Editor’ü seçin. Bu sayfa PHP kaynak kodunu doğrudan düzenlememize izin verecektir. Ana temanın bozulmasını önlemek için etkin olmayan bir tema seçmeliyiz.

Theme Editor

Aktif temanın Transportex olduğunu görebiliyoruz, bu nedenle bunun yerine Twenty Seventeen gibi kullanılmayan bir tema seçilmelidir.

Selecting Theme

Bir tema seçin ve Seç’e tıklayın. Ardından, değiştirmek ve bir web kabuğu eklemek için 404.php gibi kritik olmayan bir dosya seçin.

Twenty Seventeen Theme — 404.php

Yukarıdaki kod, GET parametresi cmd aracılığıyla komutları çalıştırmamıza izin vermelidir. Bu örnekte, 404.php sayfasının kaynak kodunu değiştirdik ve system() adlı yeni bir fonksiyon ekledik. Bu fonksiyon, bir GET isteği göndererek ve cmd parametresini bir soru işaretinden sonra URL’nin sonuna ekleyerek ve bir işletim sistemi komutu belirterek doğrudan işletim sistemi komutlarını çalıştırmamıza izin verecektir. Değiştirilmiş URL şu şekilde görünmelidir 404.php?cmd=id.

URL’yi web tarayıcısına girerek veya aşağıdaki cURL isteğini göndererek RCE elde ettiğimizi doğrulayabiliriz.

RCE

Makine Çözümü 7-

Soru : Admin kullanıcısının [admin:sunshine1] kimlik bilgilerini kullanın ve hedefinize bir webshell yükleyin. Hedefe erişiminiz olduğunda, “wp-user” dizini için ev dizinindeki “flag.txt” dosyasının içeriğini edinin.

Cevap :

1- Payloadımızı 404.php dosyasına yükledik.

2-cURL çalışığ çalışmadığını control ettik.

3- Home dizininde bir ls çalıştırdık.

4-wp-user dizininde ls çalıştırdık ve flag.txt dosyamızı bulduk .

5- Son olarak cat ile flag.txt dosyamızı okuduk .

Metasploit ile WordPress’e Saldırmak
WordPress İstismarını Otomatikleştirme

Hedef üzerinde otomatik olarak bir reverse shell elde etmek için Metasploit Framework (MSF) kullanabiliriz. Bu, web sunucusunda dosya oluşturmak için yeterli haklara sahip bir hesap için geçerli kimlik bilgileri gerektirir.

Reverse shell’i elde etmek için wp_admin_shell_upload modülünü kullanabiliriz. MSF içinde kolayca arayabiliriz:

WordPress Güçlendirme

Aşağıdaki satırları ekleyerek otomatik güncellemeleri etkinleştirmek için wp-config.php dosyasını bile değiştirebiliriz:

Plugin and Theme Management

Yalnızca WordPress.org web sitesindeki güvenilir temaları ve eklentileri yükleyin. Bir eklenti veya tema yüklemeden önce incelemelerini, popülerliğini, yükleme sayısını ve son güncelleme tarihini kontrol edin. Herhangi biri yıllardır güncellenmemişse, artık bakımının yapılmadığının ve yamalanmamış güvenlik açıklarından muzdarip olabileceğinin bir işareti olabilir. WordPress sitenizi rutin olarak denetleyin ve kullanılmayan tema ve eklentileri kaldırın. Bu, hiçbir eski eklentinin unutulmamasını ve potansiyel olarak savunmasız kalmamasını sağlamaya yardımcı olacaktır.

WordPress Güvenliğini Artırın

Web sitesinin güvenliğini artırmak için çeşitli WordPress güvenlik eklentileri kullanılabilir. Bu eklentiler Web Uygulaması Güvenlik Duvarı (WAF), kötü amaçlı yazılım tarayıcısı, izleme, etkinlik denetimi, kaba kuvvet saldırılarını önleme ve kullanıcılar için güçlü parola uygulaması olarak kullanılabilir. İşte popüler WordPress güvenlik eklentilerinden birkaç örnek.

Sucuri Güvenlik

Bu eklenti aşağıdaki özelliklerden oluşan bir güvenlik paketidir:

iThemes Security

iThemes Security, bir WordPress sitesini güvence altına almak ve korumak için 30'dan fazla yol sunar:

Wordfence Security

Wordfence Security bir uç nokta güvenlik duvarı ve kötü amaçlı yazılım tarayıcısından oluşur.

Konfigürasyon Yönetimi

Bazı yapılandırma değişiklikleri bir WordPress kurulumunun genel güvenlik duruşunu artırabilir.

User Management

Kullanıcılar genellikle bir kuruluştaki en zayıf halka olarak görüldükleri için sıklıkla hedef alınırlar. Aşağıdaki kullanıcılarla ilgili en iyi uygulamalar bir WordPress sitesinin genel güvenliğini artırmaya yardımcı olacaktır.

Soruları çözmeye başlamadan önce /etc/hosts dosyamızı nano kullanarak güncelleyelim.

Soru : Identify the WordPress version number. (WordPress sürüm numarasını belirleyin.)

Cevap : 5.1.6

Soru : Identify the WordPress theme in use. (Kullanılan WordPress temasını tanımlayın.)

Cevap : twentynineteen

Soru : Submit the contents of the flag file in the directory with directory listing enabled. (Flag dosyasının içeriğini dizin listelemenin etkin olduğu dizine iletiniz.)

Cevap:

1- Ana sayfanın kaynak kodunu uzun bir süre inceledikten sonra uploads adlı bir dizin keşfettim . Tek yapmamız gereken şey okumak.

Soru : Identify the only non-admin WordPress user. (Format: <first-name> <last-name>) (Yönetici olmayan tek WordPress kullanıcısını tanımlayın. (Biçim: <ilk ad> <soyad>))

Cevap : Charlie Wiggins

Soru : Kimliği doğrulanmamış bir dosya indirme yoluyla bayrak değeri içeren bir dosya indirmek için güvenlik açığı bulunan bir plugin kullanın.

Eklenecek.