• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Soft Утилита Helios и ещё несколько слов о Wordpress

helios.png


Приветствую, Уважаемые Друзья,Форумчане. Неприметная утилитка попалась на глаза,решил её протестировать. Она оказалась результативной на своём поле. Автор рассматриваемой утилиты Stefan Vlems г.Эйндховен-это Нидерланды. Для написания статьи также частично воспользовался вот этим . В продолжение к опциям, их немало.

helios1.png

Установка:
Код:
# git clone https://github.com/stefan2200/Helios.git
# cd Helios/
# pip install -r requirements.txt
# chmod +x helios.py
# python helios.py -h
Использование:
В утилиту встроена база, которую можно обновлять:
Код:
# cd webapps/databases
# python update.py -a
Умеет сканировать домен:
Код:
# python helios.py -u "http://target.com/" -c -s
Доступна опция поверхностного сканирования:
Код:
# python helios.py -u "http://target.com/" -c -s --options "passive,discovery" --adv
Полное сканирование:
Код:
# python helios.py -u "http://target.com/" -a
Сканирование приложений:
Код:
# python helios.py -u "http://target.com/blog/" --webapp --cms
Может подключать модули Metasploit и многое другое, но само использование её небезопасно. Если использовать полное сканирование и модули Metasploit, то целевой ресурс может немного прилечь, что нежелательно. Во многих случаях срабатывает защита и приходится использовать прокси. Однако,основная задача данной утилиты-это тестирование ресурса на следующие уязвимости:
LFI, RCE, Command Injection, SQL-Injections (time, based, boolean), CSS (reflected и stored), утечка fingerprint.
Тестирует на уязвимости CMS (WordPress,Drupal,Joomla,Typo3,Textpattern,Magento,Subrion,CMS made simple, Concrete5,MODX Revolution.

Пора приступить к pentest:

helios7.png


Бывают интересные находки,но ещё интереснее директории и пути к файлам. Тестировал несколько различных сайтов,если используются csrf-token, то утилита обязательно их выдернет. Такие вещи особенно желанны,если присутствует ещё и аналогичная уязвимость. Впрочем, на проверку уязвимоcти CSRF и выуживанию csrf-token специализируется и другая утилита с названием Bolt. Если кто не знает,то такие токены применяются при копировании формы авторизаций из страничного кода,её изменению. Затем настраивается редирект на целевой ресурс,у которого предусмотрен сброс пароля и, таким образом, атакуется,если у ресурса уязвимость CSRF. А если нет, то для более качественного фишинга и мгновенных перехватов онлайн данных в других атаках. В работе Bolt на самом деле используется так:

bolt.png


Пароли с логинами утилита генерирует сама при тестировании на их изменение, редко,но бывают и актуальные для каких-либо пользователей. Почта встречается настоящая,как правило администратора, или разработчика. Чтобы много не заштриховывать, скажу словами, что страницы с админками, утилита находит мгновенно. Также, не индексируемые директории легко обнаруживаются, даже если индексация отключена в файлах robots.txt и т.п. Ясно,что чем древнее версия Wordpress с плагинами,тем больше изъянов. Было много патчей, но не все отрабатывают ожидаемо к сожалению. По-прежнему актуальны атаки на файлы xml-rpc.

helios4.png


Чтобы взаимодействовать с таким файлом необязательно пользоваться Burpsuite. Обычно перехватывается запрос, переделывается под POST -запрос вместо GET. И чтобы узнать, можно ли использовать brute, в ответе перед отправкой запроса добавляется payload (обведён).

helios3.png


Утилита Curl может то же самое,если создать файл .txt ,состоящий из такого же кода pyload.

curltest.png


В данном примере видно,что brute возможен и чтобы убедиться,пароль какого пользователя атаковать, в этом нам поможет Мрачный Жнец Wordpress-Wpscan. Выведем заодно только уязвимые плагины (полезно всегда просматривать ещё и темы).

wpscan.png


Версии не обновлены до современных, поэтому Wpscan предлагает сразу воспользоваться модулями Metasploit. Кого-то он там ещё нашёл, но интересует конечно admin.

wpscan1.png


Брутить мне не пришлось,а так,используется вот такой payload.

helios2.png


И в Burpsuite предусмотрена автоматизация процесса,достаточно клацнуть ПКМ, отправить в Intruder, выбрать вкладку Pyload, Load-загрузить словарь и стартовать атаку. Результаты надо будет просматривать в ответах. Для этой же цели существуют и утилиты, о которых имеются статьи на нашем Форуме.

helios6.png


Целевой ресурс был найден с помощью дорков,поэтому ничего удивительного, что Helios подогнал вот такую ссылку. В данное время wordpress известен настолько распространённостью, что такие ошибки говорят уже не о неправильных настройках, а о компрометации. Тем более,директории, в которые заливаются shell изучены, как наиболее возможные.

filtererror.png


В данном случае присутствует уязвимость LFI, осталось либо вызвать shell, либо обойти немного защиту и получить профит.

helios5.png


А на этом пока у меня всё. Благодарю всех за внимание, желаю только всего самого доброго и до новых встреч.
 

qjudcw

One Level
13.06.2019
1
1
BIT
0
Из описания не особо видно, что программа полезная. Собирает csrf токены (зачем?), пытается логиниться. Из больших плюсов автор отменил поиск админок/ интересных директории, опять же, зачем? Питон скрипт будет быстрее искать директории, чем программа написанная на Go? Тот же ffuf. Также автор отметил старую и не полезную тулзу "bolt", когда есть XSRFProbe. Посмеялся над stored css, автор не отличает css от xss? Из этого можно сделать вывод, что автор имеет плохое представление о современной веб безопасности раз пишет о таких,откровенно говоря, не нужных инструментов и путает термины.
 
  • Нравится
Реакции: Vertigo

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 318
3 997
BIT
1
Из описания не особо видно, что программа полезная.
Опций достаточно и они работают.Есть аналоги конечно.
Питон скрипт будет быстрее искать директории, чем программа написанная на Go? Тот же ffuf.
Если не изменяет мне память,то Ffuf тоже на Go и он требует wordlist, отвечает кодами ответов 200 и т.д.,т.е. обычный неудобный fuzzer.
Кому как, но мне привычнее воспользоваться dersearch в таком случае.
Также автор отметил старую и не полезную тулзу "bolt", когда есть XSRFProbe.
Ну,не такая уж и старая. С XSRFProbe прекрасно знаком,но о ней не стал делать обзор,т.к. её автор (он же автор Tidos) честно предупреждает о небезопасном для сайта её использования.
К тому же протестировать ей он-лайн сайт может и не получиться).
Посмеялся над stored css, автор не отличает css от xss? Из этого можно сделать вывод, что автор имеет плохое представление о современной веб безопасности раз пишет о таких,откровенно говоря, не нужных инструментов и путает термины.
Из этого можно сделать правильный вывод,что я тупо со страницы автора скопировал функционал и здесь Вы правы ( более привычно слышится и пишется не сокращённо как cross-site..,бывает,не спорю)
Спасибо за поправку и адекватную критику.
О необходимости использования инструментов каждый ,думаю,решает сам .
На остальные вопросы отвечу просто-цель статьи показать не только утилиту,но и способ атаки на Wordpress,который ещё не оговаривался на форуме.
Инструменты ,о которых делаю обзоры ,часто использую при тестировании реальных ресурсов,поэтому и могут быть вопросы про "зачем здесь wpscan " и т.п.
Такой выбран стиль написания статей,уж не велите казнить,если не нравится,всем угодить не умею)
 
Последнее редактирование:
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!