• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

  • Напоминаем, что 1 декабря стартует курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фаззинг и фингерпринт, активный фаззинг, уязвимости, пост-эксплуатация, инструментальные средства, Social Engeneering и многое другое. Подробнее ...

Soft Утилита Helios и ещё несколько слов о Wordpress

Vertigo

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 149
3 358
helios.png
Приветствую,Уважаемые Друзья,Форумчане.
Неприметная утилитка попалась на глаза,решил её потестировать.
Она оказалась результативной на своём поле.
Автор рассматриваемой утилиты Stefan Vlems г.Эйндховен-это Нидерланды.
Для написания статьи также частично воспользовался вот этим

В продолжение к опциям,их немало.
helios1.png
Установка:
Код:
# git clone https://github.com/stefan2200/Helios.git
# cd Helios/
# pip install -r requirements.txt
# chmod +x helios.py
# python helios.py -h
Использование:
В утилиту встроена база,которую можно обновлять:
Код:
# cd webapps/databases
# python update.py -a
Умеет сканировать домен:
Код:
# python helios.py -u "http://target.com/" -c -s
Доступна опция поверхностного сканирования:
Код:
# python helios.py -u "http://target.com/" -c -s --options "passive,discovery" --adv
Полное сканирование:
Код:
# python helios.py -u "http://target.com/" -a
Сканирование приложений:
Код:
# python helios.py -u "http://target.com/blog/" --webapp --cms
Может подключать модули Metasploit и многое другое,но само использование её небезопасно.
Если использовать полное сканирование и модули Metasploit, то целевой ресурс может немного прилечь,что нежелательно.
Во многих случаях срабатывает защита и приходится использовать прокси.

Однако,основная задача данной утилиты-это тестирование ресурса на следующие уязвимости:
LFI,RCE,Command Injection,SQL-Injections( time,based,boolean),CSS (reflected и stored), утечка fingerprint.
Тестирует на уязвимости CMS (WordPress,Drupal,Joomla,Typo3,Textpattern,Magento,Subrion,CMS made simple, Concrete5,MODX Revolution.

Пора приступить к pentest:
helios7.png
Бывают интересные находки,но ещё интереснее директории и пути к файлам.
Тестировал несколько различных сайтов,если используются csrf-token, то утилита обязательно их выдернет.
Такие вещи особенно желанны,если присутствует ещё и аналогичная уязвимость.

Впрочем,на проверку уязвимоcти CSRF и выуживанию csrf-token специализируется и другая утилита с названием
Если кто не знает,то такие токены применяются при копировании формы авторизаций из страничного кода,её изменения.
Затем настраивается редирект на целевой ресурс,у которого предусмотрен сброс пароля и ,таким образом,атакуется,если у ресурса уязвимость CSRF.
А если нет,то для более качественного фишинга и мгновенных перехватов он-лайн данных в других атаках.
В работе Bolt на самом деле используется так:
bolt.png
Пароли с логинами утилита генерирует сама при тестировании на их изменение,редко,но бывают и актуальные для каких-либо пользователей.
Почта встречается настоящая,как правило администратора ,или разработчика.

Чтобы много не заштриховывать,скажу словами,что страницы с админками,утилита находит мгновенно.
Также, неиндексируемые директории легко обнаруживаются, даже если индексация отключена в файлах robots.txt и т.п.

Ясно,что чем древнее версия Wordpress с плагинами,тем больше изъянов.
Было много патчей, но не все отрабатывают ожидаемо к сожалению.
По-прежнему актуальны атаки на файлы xml-rpc.
helios4.png
Чтобы взаимодействовать с таким файлом необязательно пользоваться Burpsuite.
Обычно перехватывается запрос,переделывается под POST -запрос вместо GET.
И чтобы узнать,можно ли использовать brute ,в ответе перед отправкой запроса добавляется payload (обведён).
helios3.png
Утилита Curl может то же самое,если создать файл .txt ,состоящий из такого же кода payload.
curltest.png
В данном примере видно,что brute возможен и чтобы убедиться,пароль какого пользователя атаковать,
в этом нам поможет Мрачный Жнец Wordpress-Wpscan.
Выведем заодно только уязвимые плагины (полезно всегда просматривать ещё и темы).
wpscan.png
Версии не обновлены до современных, поэтому Wpscan предлагает сразу воспользоваться модулями Metasploit.
Кого-то он там ещё нашёл,но интересует конечно admin.
wpscan1.png
Брутить мне не пришлось,а так,используется вот такой payload.
helios2.png
И в Burpsuite предусмотрена автоматизация процесса,достаточно клацнуть ПКМ,отправить в Intruder,выбрать вкладку Pyload, Load-загрузить словарь и стартовать атаку.
Результаты надо будет просматривать в ответах.Для этой же цели существуют и утилиты,о которых имеются статьи на нашем Форуме.
helios6.png
Целевой ресурс был найден с помощью дорков,поэтому ничего удивительного,что Helios подогнал вот такую ссылку.
В данное время wordpress известен настолько распространённостью,что такие ошибки говорят уже не о неправильных настройках,а о компрометации.
Тем более,директории,в которые заливаются shell изучены,как наиболее возможные.
filtererror.png
В данном случае присутствует уязвимость LFI, осталось либо вызвать shell, либо обойти немного защиту и получить профит.
helios5.png
А на этом пока у меня всё,Благодарю всех за внимание,желаю только всего самого доброго и до новых встреч.
 
Последнее редактирование:
Q

qjudcw

New member
13.06.2019
1
1
Из описания не особо видно, что программа полезная. Собирает csrf токены (зачем?), пытается логиниться. Из больших плюсов автор отменил поиск админок/ интересных директории, опять же, зачем? Питон скрипт будет быстрее искать директории, чем программа написанная на Go? Тот же ffuf. Также автор отметил старую и не полезную тулзу "bolt", когда есть XSRFProbe. Посмеялся над stored css, автор не отличает css от xss? Из этого можно сделать вывод, что автор имеет плохое представление о современной веб безопасности раз пишет о таких,откровенно говоря, не нужных инструментов и путает термины.
 
  • Нравится
Реакции: Vertigo
Vertigo

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 149
3 358
Из описания не особо видно, что программа полезная.
Опций достаточно и они работают.Есть аналоги конечно.
Питон скрипт будет быстрее искать директории, чем программа написанная на Go? Тот же ffuf.
Если не изменяет мне память,то Ffuf тоже на Go и он требует wordlist, отвечает кодами ответов 200 и т.д.,т.е. обычный неудобный fuzzer.
Кому как, но мне привычнее воспользоваться dersearch в таком случае.
Также автор отметил старую и не полезную тулзу "bolt", когда есть XSRFProbe.
Ну,не такая уж и старая. С XSRFProbe прекрасно знаком,но о ней не стал делать обзор,т.к. её автор (он же автор Tidos) честно предупреждает о небезопасном для сайта её использования.
К тому же протестировать ей он-лайн сайт может и не получиться).
Посмеялся над stored css, автор не отличает css от xss? Из этого можно сделать вывод, что автор имеет плохое представление о современной веб безопасности раз пишет о таких,откровенно говоря, не нужных инструментов и путает термины.
Из этого можно сделать правильный вывод,что я тупо со страницы автора скопировал функционал и здесь Вы правы ( более привычно слышится и пишется не сокращённо как cross-site..,бывает,не спорю)
Спасибо за поправку и адекватную критику.
О необходимости использования инструментов каждый ,думаю,решает сам .
На остальные вопросы отвечу просто-цель статьи показать не только утилиту,но и способ атаки на Wordpress,который ещё не оговаривался на форуме.
Инструменты ,о которых делаю обзоры ,часто использую при тестировании реальных ресурсов,поэтому и могут быть вопросы про "зачем здесь wpscan " и т.п.
Такой выбран стиль написания статей,уж не велите казнить,если не нравится,всем угодить не умею)
 
Последнее редактирование:
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб