Приветствую, Уважаемые Друзья,Форумчане. Неприметная утилитка попалась на глаза,решил её протестировать. Она оказалась результативной на своём поле. Автор рассматриваемой утилиты Stefan Vlems г.Эйндховен-это Нидерланды. Для написания статьи также частично воспользовался вот этим
Ссылка скрыта от гостей
. В продолжение к опциям, их немало.
Установка:
Код:
# git clone https://github.com/stefan2200/Helios.git
# cd Helios/
# pip install -r requirements.txt
# chmod +x helios.py
# python helios.py -hВ утилиту встроена база, которую можно обновлять:
Код:
# cd webapps/databases
# python update.py -a
Код:
# python helios.py -u "http://target.com/" -c -s
Код:
# python helios.py -u "http://target.com/" -c -s --options "passive,discovery" --adv
Код:
# python helios.py -u "http://target.com/" -a
Код:
# python helios.py -u "http://target.com/blog/" --webapp --cmsТестирует на уязвимости CMS (WordPress,Drupal,Joomla,Typo3,Textpattern,Magento,Subrion,CMS made simple, Concrete5,MODX Revolution.
Пора приступить к pentest:
Бывают интересные находки,но ещё интереснее директории и пути к файлам. Тестировал несколько различных сайтов,если используются csrf-token, то утилита обязательно их выдернет. Такие вещи особенно желанны,если присутствует ещё и аналогичная уязвимость. Впрочем, на проверку уязвимоcти CSRF и выуживанию csrf-token специализируется и другая утилита с названием Bolt. Если кто не знает,то такие токены применяются при копировании формы авторизаций из страничного кода,её изменению. Затем настраивается редирект на целевой ресурс,у которого предусмотрен сброс пароля и, таким образом, атакуется,если у ресурса уязвимость CSRF. А если нет, то для более качественного фишинга и мгновенных перехватов онлайн данных в других атаках. В работе Bolt на самом деле используется так:
Пароли с логинами утилита генерирует сама при тестировании на их изменение, редко,но бывают и актуальные для каких-либо пользователей. Почта встречается настоящая,как правило администратора, или разработчика. Чтобы много не заштриховывать, скажу словами, что страницы с админками, утилита находит мгновенно. Также, не индексируемые директории легко обнаруживаются, даже если индексация отключена в файлах robots.txt и т.п. Ясно,что чем древнее версия Wordpress с плагинами,тем больше изъянов. Было много патчей, но не все отрабатывают ожидаемо к сожалению. По-прежнему актуальны атаки на файлы xml-rpc.
Чтобы взаимодействовать с таким файлом необязательно пользоваться Burpsuite. Обычно перехватывается запрос, переделывается под POST -запрос вместо GET. И чтобы узнать, можно ли использовать brute, в ответе перед отправкой запроса добавляется payload (обведён).
Утилита Curl может то же самое,если создать файл .txt ,состоящий из такого же кода pyload.
В данном примере видно,что brute возможен и чтобы убедиться,пароль какого пользователя атаковать, в этом нам поможет Мрачный Жнец Wordpress-Wpscan. Выведем заодно только уязвимые плагины (полезно всегда просматривать ещё и темы).
Версии не обновлены до современных, поэтому Wpscan предлагает сразу воспользоваться модулями Metasploit. Кого-то он там ещё нашёл, но интересует конечно admin.
Брутить мне не пришлось,а так,используется вот такой payload.
И в Burpsuite предусмотрена автоматизация процесса,достаточно клацнуть ПКМ, отправить в Intruder, выбрать вкладку Pyload, Load-загрузить словарь и стартовать атаку. Результаты надо будет просматривать в ответах. Для этой же цели существуют и утилиты, о которых имеются статьи на нашем Форуме.
Целевой ресурс был найден с помощью дорков,поэтому ничего удивительного, что Helios подогнал вот такую ссылку. В данное время wordpress известен настолько распространённостью, что такие ошибки говорят уже не о неправильных настройках, а о компрометации. Тем более,директории, в которые заливаются shell изучены, как наиболее возможные.
В данном случае присутствует уязвимость LFI, осталось либо вызвать shell, либо обойти немного защиту и получить профит.
А на этом пока у меня всё. Благодарю всех за внимание, желаю только всего самого доброго и до новых встреч.
