Конкурс Pentest сайта на WP

Доброго времени суток, Всем!

На общий конкурс по Pentest'у предлагаю сайт tusila.ru
Это детский завлекательно-познавательный сайт который к сожалению имеет ряд уязвимостей, которые не позволяют развивать сайт, так как его постоянно взламывают.

Чтобы кроме соревновательной части была и небольшая материальная часть готов предложить 50 руб за каждую найденную и описанную уязвимость.
Бюджет на уязвимости 3000 руб.
Тому кто лучше всего опишет как закрыть найденные уязвимости отдельная благодарность в размере 2000 руб.
Сайт во время тестирования просьба не DDoSить и не класть. :)

Выбор и условия конкурса определяют Админы codeby.

Хочу пожелать всем удачи и плодотворного pentest'a.
 
Последнее редактирование:

Rook

Codeby Team
Red Team
09.01.2019
727
717
BIT
4
Доброго времени суток, Всем!

На общий конкурс по Pentest'у предлагаю сайт tusila.ru
Это детский завлекательно-познавательный сайт который к сожалению имеет ряд уязвимостей, которые не позволяют развивать сайт, так как его постоянно взламывают.

Чтобы кроме соревновательной части была и небольшая материальная часть готов предложить 50 руб за каждую найденную и описанную уязвимость.
Бюджет на уязвимости 3000 руб.
Тому кто лучше всего опишет как закрыть найденные уязвимости отдельная благодарность в размере 2000 руб.

Выбор и условия конкурса определяют Админы codeby.

Хочу пожелать всем удачи и плодотворного pentest'a.
Бюджетный завуалированный заказ по пентесту))))
 

zakrush

Well-known member
21.03.2018
81
118
BIT
0
его постоянно взламывают
Хотя бы написали что подразумевается под "взламывают".

+ нужны какие то доказательства, что проситель, является владельцем сайта.

P/S: Но за 50 руб. Можно разве что сканер запустить :)
 
  • Нравится
Реакции: Сергей Попов

IgoEst

Member
06.01.2020
20
0
BIT
0
Тот случай, когда нет денег, а пентест нужен :) Расторопные могут получить всю сумму конкурса.
Сайт не коммерческий, хочется сделать что-то качественное, интересное и полезное для детей.
Но ломают постоянно... ипо глупости последний backup удалили
Хотя бы написали что подразумевается под "взламывают".

+ нужны какие то доказательства, что проситель, является владельцем сайта.

P/S: Но за 50 руб. Можно разве что сканер запустить :)
:)
WPScan я сам запускал... толку для меня ноль.
А бюджет все-таки не 50 руб, а 5000 :)
 

zakrush

Well-known member
21.03.2018
81
118
BIT
0
На добрых началах 3 язвимости просто посмотрев сайт:
1. Форма восстановления пароля, позволяет брутить пользователей которые есть. Т.е. можно узнать по ответу есть данный пользователь или нет + нет лимитов на попытки, и задержек
2. Админка так же не защищена от брута
3. Вот через эту штуку, можно брутить логин/пароль + DOS делать.
4. Походу старый очень WP. ЕГо надо обновлять, т.к. одна уязвимость, которую я тут в выходные щупал на сайте отрабатывает. (Позволяет смотреть скрытые публикации).

Так что с вас 200 руб. даже без запуска сканера :)
 
Последнее редактирование:

Сергей Попов

Кодебай
30.12.2015
4 710
6 628
BIT
539
Ссылка "Сменить тему" не работает. Ссылка "форум" не работает. На оригинале сайта так же?
 

zakrush

Well-known member
21.03.2018
81
118
BIT
0
ипо глупости последний backup удалили
Только не говорите, что бэкап лежит рядом с сайтом? Такие вещи надо хранить вообще у отдельного провайдера или на крайняк дома. С дублированием еще в другие места.
Ссылка "Сменить тему" не работает. Ссылка "форум" не работает. На оригинале сайта так же?
На основном работает
 

IgoEst

Member
06.01.2020
20
0
BIT
0
На добрых началах 3 язвимости просто посмотрев сайт:
1. Форма восстановления пароля, позволяет брутить пользователей которые есть. Т.е. можно узнать по ответу есть данный пользователь или нет + нет лимитов на попытки, и задержек
2. Админка так же не защищена от брута
3. Вот через эту штуку, можно брутить логин/пароль + DOS делать.
4. Походу старый очень WP. ЕГо надо обновлять, т.к. одна уязвимость, которую я тут в выходные щупал на сайте отрабатывает. (Позволяет смотреть скрытые публикации).

Так что с вас 200 руб. даже без запуска сканера :)
1. 2. 3. Брут простых пользователей не сильно опасна для сайта так как у них нет прав позволяющие взламывать сайт.
Пароли у админов имеют длинну более 30 символов, что для брута займет очень продолжительное время.
Я думаю codeby как специалист сможет оценить что из 3 пунктов являются рабочими уязвимостями. То что нет лимитов и задержек для брута, это точно уязвимость.
4. WP имеет последную версию. Уязвимость на которую вы указываете не является уязвимостью, так как это не скрытые публикации, а

Только не говорите, что бэкап лежит рядом с сайтом? Такие вещи надо хранить вообще у отдельного провайдера или на крайняк дома. С дублированием еще в другие места.

На основном работает
Последний бэкап к сожалению лежал именно "рядом".
Восстановленный сайт, это вроде майский сайт, потерял часть контента сайта.

Ссылка "Сменить тему" не работает. Ссылка "форум" не работает. На оригинале сайта так же?
Эти разделы сейчас не работают.
Как не работают сейчас МОЙ МИР и "МОЙ АВАТАР" для зарегистрированных пользователей.
После взлома в БД нарушли таблицы и часть файлов, пока не восстанавливали виртуальный мир.
 

zakrush

Well-known member
21.03.2018
81
118
BIT
0
4. WP имеет последную версию. Уязвимость на которую вы указываете не является уязвимостью, так как это не скрытые публикации, а
Не последнюю. У вас 5.3.2
Создайте скрытый пост, и сделайте запрос, увидите, что данная публикация окажется видна. Это уязвимость.
1. 2. 3. Брут простых пользователей не сильно опасна для сайта так как у них нет прав позволяющие взламывать сайт.
Пароли у админов имеют длинну более 30 символов, что для брута займет очень продолжительное время.

Ок. Т.е. взлом и безопасность пользователей вас не волнует. Отличная позиция.
Про п.3 DOS через вас не смущает? а так же опять же атака на пользователей? У админа сильный пароль, у пользователей не факт. Но через эту штуку можно бесконечно брутить.
Так мы с вами далеко не уедем. Я любую уязвимость могу таким образом оправдать.

Кстати сайт прилег.

ППС: вообще сервер дырка. Может вечером время будет, посмотрю еще предположения, через которые залазят. Но уже торщачий наружу 3306 не очень хорошая практика. И кучу других сервисов.
 
  • Нравится
Реакции: swagcat228

IgoEst

Member
06.01.2020
20
0
BIT
0
Не последнюю. У вас 5.3.2
Создайте скрытый пост, и сделайте запрос, увидите, что данная публикация окажется видна. Это уязвимость.


Ок. Т.е. взлом и безопасность пользователей вас не волнует. Отличная позиция.
Про п.3 DOS через вас не смущает? а так же опять же атака на пользователей? У админа сильный пароль, у пользователей не факт. Но через эту штуку можно бесконечно брутить.
Так мы с вами далеко не уедем. Я любую уязвимость могу таким образом оправдать.

Кстати сайт прилег.

ППС: вообще сервер дырка. Может вечером время будет, посмотрю еще предположения, через которые залазят. Но уже торщачий наружу 3306 не очень хорошая практика. И кучу других сервисов.

1) 5.3.2 это последняя версия WP которая доступна для
2) Создал скрытый пост и он действительно отображается. Это уязвимость... +1 :)
3) Считаем 4 уязвимости найденными :)
4) Странно что сайт ложится, я вроде сижу и не замечаю этого, по нагрузке хостер тоже ничего не видит
5) Сайт взламывали с размещением сотен шелов, изменением паролей к БД, рассылке спама по почте и пр.
 

zakrush

Well-known member
21.03.2018
81
118
BIT
0
ППС: видимо какая то защита все таки стоит: типа Fail2ban. Т.к. уже второй IP в бан ушел после начала скана по части сканирования WP. Поэтому сайт и отваливается.
 

Rook

Codeby Team
Red Team
09.01.2019
727
717
BIT
4
1) 5.3.2 это последняя версия WP которая доступна для
2) Создал скрытый пост и он действительно отображается. Это уязвимость... +1 :)
3) Считаем 4 уязвимости найденными :)
4) Странно что сайт ложится, я вроде сижу и не замечаю этого, по нагрузке хостер тоже ничего не видит
5) Сайт взламывали с размещением сотен шелов, изменением паролей к БД, рассылке спама по почте и пр.
По-моему вам проще его пересоьрать с нуля потратив 5000р именно на пересборку,с учётом всех уязвимостей. А пока будете собирать по новой,почитать про самые явные и устранить самому. Ну а там вам конечно решать.
 

IgoEst

Member
06.01.2020
20
0
BIT
0
ППС: видимо какая то защита все таки стоит: типа Fail2ban. Т.к. уже второй IP в бан ушел после начала скана по части сканирования WP. Поэтому сайт и отваливается.
Скорее всего это хостер.
На сайте ничего не стоит.

По-моему вам проще его пересоьрать с нуля потратив 5000р именно на пересборку,с учётом всех уязвимостей. А пока будете собирать по новой,почитать про самые явные и устранить самому. Ну а там вам конечно решать.
Разумеется после тестирования я буду заниматься тем чтобы устранить уязвимости.

ППС: видимо какая то защита все таки стоит: типа Fail2ban. Т.к. уже второй IP в бан ушел после начала скана по части сканирования WP. Поэтому сайт и отваливается.
Раньше сайт висел на VDS (ihor.ru) там защиты от скана не было.
 

zakrush

Well-known member
21.03.2018
81
118
BIT
0
Это к тому, что с таким бюджетом и еще какие то сложности со сканированием, ну так себе история. Точно не буду заморачиваться по обходу блокировок во время сканирования.
 

IgoEst

Member
06.01.2020
20
0
BIT
0
Это к тому, что с таким бюджетом и еще какие то сложности со сканированием, ну так себе история. Точно не буду заморачиваться по обходу блокировок во время сканирования.
Хочется верить, что хоть у кого-то будет спортивный интерес :)
 

IgoEst

Member
06.01.2020
20
0
BIT
0
Это к тому, что с таким бюджетом и еще какие то сложности со сканированием, ну так себе история. Точно не буду заморачиваться по обходу блокировок во время сканирования.
Просканировал WPScan'ном выдал все результаты по сканированию.
Не понятно тогда какие сложности со сканированием?
 

qwerty_man

Green Team
11.04.2019
47
85
BIT
1
Доброго времени суток, Всем!

На общий конкурс по Pentest'у предлагаю сайт tusila.ru
Это детский завлекательно-познавательный сайт который к сожалению имеет ряд уязвимостей, которые не позволяют развивать сайт, так как его постоянно взламывают.

Чтобы кроме соревновательной части была и небольшая материальная часть готов предложить 50 руб за каждую найденную и описанную уязвимость.
Бюджет на уязвимости 3000 руб.
Тому кто лучше всего опишет как закрыть найденные уязвимости отдельная благодарность в размере 2000 руб.
Сайт во время тестирования просьба не DDoSить и не класть. :)

Выбор и условия конкурса определяют Админы codeby.

Хочу пожелать всем удачи и плодотворного pentest'a.
Добрый день!

К сожалению, протестировать ваш сайт сейчас нет возможности.

Возможно, что это и бессмысленно и ту уязвимость, через которую что-либо заливали - вы прикрыли с обновлением плагинов (если верить WPscan - последнее wordpress-seo от 4-го февраля).

Также, может быть, что искать снаружи уже бесполезно и какой-нибудь шелл остался внутри, например, вшитый в ядро WP или тему.

Чтобы не допустить последующего взлома, а если он все же случится - установить причину, могу дать следующие рекомендации:

1) Проверьте ядро WP и плагины на изменения.
2) Настройте логи (error_log, access_log), если они не настроены.
3) Ограничьте запуск .php из wp-content/uploads при помощи .htaccess:
Код:
<FilesMatch «\.(php|php3|php4|php5|php6|phtml|phps)$|^$»>
Order allow,deny
Deny from all
</FilesMatch>
4) Добавьте recaptcha в contactform7
5) Просканируйте файлы сайта каким-нибудь антивирусным ПО
6) Поставьте какой-нибудь плагин безопасности (WAF)

Пункт 1,5 и 6 можно решить при помощи

P.S. А если все же случится повторный взлом - смотрите дату создания/модифицирования файлов, затем, через логи ищите причину. Бывает, что виновником является соседний аккаунт на shared-хостинге и неверно выставленные права хостером/юзером.

P.P.S. И да, как заметил zakrush, WAF все же присутствует. После сканирования wpscan мой ip тоже попал в blacklist.
 
Последнее редактирование:
  • Нравится
Реакции: IgoEst

zakrush

Well-known member
21.03.2018
81
118
BIT
0
PS: Советую настроить Firewall на Whitelist IP. Порты которые необходимы убрать, чтобы они не были доступны снаружи.

P.S.S: смотрю ввел капчу на login админа. Но имхо она не работает. Т.е. ни каким образом не мешает мне напрямую слать запросы. Возможно связано с тем, в запросе к капче два слэша. GET /wp-content/plugins/wp-limit-login-attempts//captcha.php

Да и вообще она должна проверяться до отправки логин/пароля а не после.

И еще очень советую настроить Security-headers + в идеале CSRF токены прикрутить к авторизации.
 
  • Нравится
Реакции: IgoEst

IgoEst

Member
06.01.2020
20
0
BIT
0
Добрый день!

К сожалению, протестировать ваш сайт сейчас нет возможности.

Возможно, что это и бессмысленно и ту уязвимость, через которую что-либо заливали - вы прикрыли с обновлением плагинов (если верить WPscan - последнее wordpress-seo от 4-го февраля).

Также, может быть, что искать снаружи уже бесполезно и какой-нибудь шелл остался внутри, например, вшитый в ядро WP или тему.

Чтобы не допустить последующего взлома, а если он все же случится - установить причину, могу дать следующие рекомендации:

1) Проверьте ядро WP и плагины на изменения.
2) Настройте логи (error_log, access_log), если они не настроены.
3) Ограничьте запуск .php из wp-content/uploads при помощи .htaccess:
Код:
<FilesMatch «\.(php|php3|php4|php5|php6|phtml|phps)$|^$»>
Order allow,deny
Deny from all
</FilesMatch>
4) Добавьте recaptcha в contactform7
5) Просканируйте файлы сайта каким-нибудь антивирусным ПО
6) Поставьте какой-нибудь плагин безопасности (WAF)

Пункт 1,5 и 6 можно решить при помощи

P.S. А если все же случится повторный взлом - смотрите дату создания/модифицирования файлов, затем, через логи ищите причину. Бывает, что виновником является соседний аккаунт на shared-хостинге и неверно выставленные права хостером/юзером.

P.P.S. И да, как заметил zakrush, WAF все же присутствует. После сканирования wpscan мой ip тоже попал в blacklist.
Большое спасибо за рекомендации!
В ближайшее время по всем пунктам буду заниматься.
Антивирусное ПО провайдера нашел одну уязвимость в плагине (видимо плагин было nulled), плагин удалил.

Классификация сигнатуры : Эксплуатация уязвимости CMS

<?php if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == '...
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!