• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Soft Утилита Helios и ещё несколько слов о Wordpress

Vertigo

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 156
3 392
Утилита Helios и ещё несколько слов о Wordpress


Приветствую, Уважаемые Друзья,Форумчане. Неприметная утилитка попалась на глаза,решил её протестировать. Она оказалась результативной на своём поле. Автор рассматриваемой утилиты Stefan Vlems г.Эйндховен-это Нидерланды. Для написания статьи также частично воспользовался вот этим . В продолжение к опциям, их немало.

Утилита Helios и ещё несколько слов о Wordpress

Установка:
Код:
# git clone https://github.com/stefan2200/Helios.git
# cd Helios/
# pip install -r requirements.txt
# chmod +x helios.py
# python helios.py -h
Использование:
В утилиту встроена база, которую можно обновлять:
Код:
# cd webapps/databases
# python update.py -a
Умеет сканировать домен:
Код:
# python helios.py -u "http://target.com/" -c -s
Доступна опция поверхностного сканирования:
Код:
# python helios.py -u "http://target.com/" -c -s --options "passive,discovery" --adv
Полное сканирование:
Код:
# python helios.py -u "http://target.com/" -a
Сканирование приложений:
Код:
# python helios.py -u "http://target.com/blog/" --webapp --cms
Может подключать модули Metasploit и многое другое, но само использование её небезопасно. Если использовать полное сканирование и модули Metasploit, то целевой ресурс может немного прилечь, что нежелательно. Во многих случаях срабатывает защита и приходится использовать прокси. Однако,основная задача данной утилиты-это тестирование ресурса на следующие уязвимости:
LFI, RCE, Command Injection, SQL-Injections (time, based, boolean), CSS (reflected и stored), утечка fingerprint.
Тестирует на уязвимости CMS (WordPress,Drupal,Joomla,Typo3,Textpattern,Magento,Subrion,CMS made simple, Concrete5,MODX Revolution.

Пора приступить к pentest:

Утилита Helios и ещё несколько слов о Wordpress


Бывают интересные находки,но ещё интереснее директории и пути к файлам. Тестировал несколько различных сайтов,если используются csrf-token, то утилита обязательно их выдернет. Такие вещи особенно желанны,если присутствует ещё и аналогичная уязвимость. Впрочем, на проверку уязвимоcти CSRF и выуживанию csrf-token специализируется и другая утилита с названием . Если кто не знает,то такие токены применяются при копировании формы авторизаций из страничного кода,её изменению. Затем настраивается редирект на целевой ресурс,у которого предусмотрен сброс пароля и, таким образом, атакуется,если у ресурса уязвимость CSRF. А если нет, то для более качественного фишинга и мгновенных перехватов онлайн данных в других атаках. В работе Bolt на самом деле используется так:

Утилита Helios и ещё несколько слов о Wordpress


Пароли с логинами утилита генерирует сама при тестировании на их изменение, редко,но бывают и актуальные для каких-либо пользователей. Почта встречается настоящая,как правило администратора, или разработчика. Чтобы много не заштриховывать, скажу словами, что страницы с админками, утилита находит мгновенно. Также, не индексируемые директории легко обнаруживаются, даже если индексация отключена в файлах robots.txt и т.п. Ясно,что чем древнее версия Wordpress с плагинами,тем больше изъянов. Было много патчей, но не все отрабатывают ожидаемо к сожалению. По-прежнему актуальны атаки на файлы xml-rpc.

Утилита Helios и ещё несколько слов о Wordpress


Чтобы взаимодействовать с таким файлом необязательно пользоваться Burpsuite. Обычно перехватывается запрос, переделывается под POST -запрос вместо GET. И чтобы узнать, можно ли использовать brute, в ответе перед отправкой запроса добавляется payload (обведён).

Утилита Helios и ещё несколько слов о Wordpress


Утилита Curl может то же самое,если создать файл .txt ,состоящий из такого же кода pyload.

Утилита Helios и ещё несколько слов о Wordpress


В данном примере видно,что brute возможен и чтобы убедиться,пароль какого пользователя атаковать, в этом нам поможет Мрачный Жнец Wordpress-Wpscan. Выведем заодно только уязвимые плагины (полезно всегда просматривать ещё и темы).

Утилита Helios и ещё несколько слов о Wordpress


Версии не обновлены до современных, поэтому Wpscan предлагает сразу воспользоваться модулями Metasploit. Кого-то он там ещё нашёл, но интересует конечно admin.

Утилита Helios и ещё несколько слов о Wordpress


Брутить мне не пришлось,а так,используется вот такой payload.

Утилита Helios и ещё несколько слов о Wordpress


И в Burpsuite предусмотрена автоматизация процесса,достаточно клацнуть ПКМ, отправить в Intruder, выбрать вкладку Pyload, Load-загрузить словарь и стартовать атаку. Результаты надо будет просматривать в ответах. Для этой же цели существуют и утилиты, о которых имеются статьи на нашем Форуме.

Утилита Helios и ещё несколько слов о Wordpress


Целевой ресурс был найден с помощью дорков,поэтому ничего удивительного, что Helios подогнал вот такую ссылку. В данное время wordpress известен настолько распространённостью, что такие ошибки говорят уже не о неправильных настройках, а о компрометации. Тем более,директории, в которые заливаются shell изучены, как наиболее возможные.

Утилита Helios и ещё несколько слов о Wordpress


В данном случае присутствует уязвимость LFI, осталось либо вызвать shell, либо обойти немного защиту и получить профит.

Утилита Helios и ещё несколько слов о Wordpress


А на этом пока у меня всё. Благодарю всех за внимание, желаю только всего самого доброго и до новых встреч.
 
Q

qjudcw

New member
13.06.2019
1
1
Из описания не особо видно, что программа полезная. Собирает csrf токены (зачем?), пытается логиниться. Из больших плюсов автор отменил поиск админок/ интересных директории, опять же, зачем? Питон скрипт будет быстрее искать директории, чем программа написанная на Go? Тот же ffuf. Также автор отметил старую и не полезную тулзу "bolt", когда есть XSRFProbe. Посмеялся над stored css, автор не отличает css от xss? Из этого можно сделать вывод, что автор имеет плохое представление о современной веб безопасности раз пишет о таких,откровенно говоря, не нужных инструментов и путает термины.
 
  • Нравится
Реакции: Vertigo
Vertigo

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 156
3 392
Из описания не особо видно, что программа полезная.
Опций достаточно и они работают.Есть аналоги конечно.
Питон скрипт будет быстрее искать директории, чем программа написанная на Go? Тот же ffuf.
Если не изменяет мне память,то Ffuf тоже на Go и он требует wordlist, отвечает кодами ответов 200 и т.д.,т.е. обычный неудобный fuzzer.
Кому как, но мне привычнее воспользоваться dersearch в таком случае.
Также автор отметил старую и не полезную тулзу "bolt", когда есть XSRFProbe.
Ну,не такая уж и старая. С XSRFProbe прекрасно знаком,но о ней не стал делать обзор,т.к. её автор (он же автор Tidos) честно предупреждает о небезопасном для сайта её использования.
К тому же протестировать ей он-лайн сайт может и не получиться).
Посмеялся над stored css, автор не отличает css от xss? Из этого можно сделать вывод, что автор имеет плохое представление о современной веб безопасности раз пишет о таких,откровенно говоря, не нужных инструментов и путает термины.
Из этого можно сделать правильный вывод,что я тупо со страницы автора скопировал функционал и здесь Вы правы ( более привычно слышится и пишется не сокращённо как cross-site..,бывает,не спорю)
Спасибо за поправку и адекватную критику.
О необходимости использования инструментов каждый ,думаю,решает сам .
На остальные вопросы отвечу просто-цель статьи показать не только утилиту,но и способ атаки на Wordpress,который ещё не оговаривался на форуме.
Инструменты ,о которых делаю обзоры ,часто использую при тестировании реальных ресурсов,поэтому и могут быть вопросы про "зачем здесь wpscan " и т.п.
Такой выбран стиль написания статей,уж не велите казнить,если не нравится,всем угодить не умею)
 
Последнее редактирование:
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб