elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: [Aporte] Mejores practicas en Java


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits (Moderador: berz3k)
| | |-+  Vulnerabilidad WP
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Vulnerabilidad WP  (Leído 1,316 veces)
NoBullshit


Desconectado Desconectado

Mensajes: 306



Ver Perfil
Vulnerabilidad WP
« en: 5 Mayo 2017, 12:01 »

Hola foreros!

No entiendo muy bien cómo funciona este exploit.

http://0day.today/exploit/27720

Veo que juega con las cabeceras del protocolo (http...?) pero no comprendo bien bien en qué forma esto puede hacer vulnerable la aplicación web. ¿Podría alguien aclarármelo?

Gracias de antemano!
En línea

3 horizontes para allí, están pasando cosas
engel lex
CoAdmin
***
Desconectado Desconectado

Mensajes: 11.406



Ver Perfil
Re: Vulnerabilidad WP
« Respuesta #1 en: 5 Mayo 2017, 15:04 »

debe ser una vulnerabilidad en como wordpress lee la solicitud, mi imagino que para hacer dinamico (que no requiera cambiar el host en el sistema cuando se instala) dejaron que el script asumiera el host en base al host requerido...

así que wordpress termina mandando al activacion a otro host...

sin embargo, si es un servidor apache que aplica virtual server para mantener varios servidores coexístiendo, no creo que sea vulnerable
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
NoBullshit


Desconectado Desconectado

Mensajes: 306



Ver Perfil
Re: Vulnerabilidad WP
« Respuesta #2 en: 5 Mayo 2017, 15:16 »

Entiendo. Bueno, a medias. Si lo envía a otro host, puedes fakear la cuenta creando una desde el host al que envía? Y así recibir el correo de recuperación y ownear la cuenta impúdicamente.

Lo que me parece fuerte es que se descubran vulnerabilidades así a un software de la talla de WP a día de hoy, no? Bueno no sé, mi reflexión. Pero si afecta a todos los WP... Es serio no?
En línea

3 horizontes para allí, están pasando cosas
engel lex
CoAdmin
***
Desconectado Desconectado

Mensajes: 11.406



Ver Perfil
Re: Vulnerabilidad WP
« Respuesta #3 en: 5 Mayo 2017, 15:36 »

revisa la versión...

conseguir vulnerabilidaes así no es facil, wordpress se acerca al medio millon de lineas de codigo

fijate hearthbleed... es un error super estupido, pero duró años ahí (implementado completamente desde el 2012)

En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
animanegra

Desconectado Desconectado

Mensajes: 30



Ver Perfil
Re: Vulnerabilidad WP
« Respuesta #4 en: 5 Mayo 2017, 16:01 »

Voy a intentar explicar el fallo paso a paso en plan fácil.

La vulnerabilidad lo que hace es cambiar el campo from del correo que envía el sistema para recordar contraseña.

Esto solo pasa si no tienes wordpress configurado con un email de admin. En dicho caso el wordpress usa la variable SERVER de PHP que es una variable que puede variar el usuario en la cabecera de la petición HTTP.
La forma por defecto de componer la direccion from cuando no esta configurada es wordpress@XXXX donde XXX es lo que ha puesto el usuario en la cabecera de envio del http en el campo host (el navegador envia automaticamente esto pero haciendo la peticion a mano puedes modificarlo a mano y encima es sencillo porque es todo texto plano).

Por lo que si yo envio la peticion de recuperar contraseña poniendo en la cabecera de HTTP en el campo HOST www.godofredo.com cuando envíe el mail de recuperacion de password lo hará con la direccion FROM wordpress@godofredo.com.

Aquí aun no tenemos posibilidad de hacer nada como atacante porque el correo le habría llegado a su destinatario original con la única variación de que el campo from esta cambiado.

La forma "facil" de explotar esto supone (aparte de haber hecho lo anterior) tener un servidor de correo en el url y forzar a que el correo enviado no sea recibido en el inbox del usuario que se quiere "Hackear" (mediante ataque de DOS al servicio del receptor del correo o similares). Cuando el sevicio de correo no logra entregar un correo lo envía al FROM indicándole que ha sido imposible de enviar con la copia original del mail donde tienes el link con el identificador para poder cambiar la password.

¿He ayudado en algo? ¿Se entiende todo el proceso?

Sobre todo lo que se tiene que aprender de todo esto es:

Hay que sanitizar todas las variables de usuario y no usarlas para elementos críticos del sistema.
Es difícil en sistemas complejos estar al 100% seguro de que no se han cometido fallos.
En línea

42
NoBullshit


Desconectado Desconectado

Mensajes: 306



Ver Perfil
Re: Vulnerabilidad WP
« Respuesta #5 en: 5 Mayo 2017, 20:40 »

Muchas gracias animanegra! Me aclaró mucho  :) me sorprendió que datos de la variable $_SERVER se cojan del cliente.

Entonces no es tan fácil. Tiene que fallar el primer envío de correo para la recuperación de contraseña. Entiendo, entiendo... No es tan grave entonces. Bueno, puede ser igual de grave, pero no es un pim-pam tampoco, tiene más de lo que me pareció entender
En línea

3 horizontes para allí, están pasando cosas
animanegra

Desconectado Desconectado

Mensajes: 30



Ver Perfil
Re: Vulnerabilidad WP
« Respuesta #6 en: 6 Mayo 2017, 01:26 »

Cuidado hay cantidad de valores de la variable $_SERVER que vienen del cliente, en general todas las que llevan el HTTP_ antes vienen de la cabecera:

'HTTP_ACCEPT'
'HTTP_ACCEPT_CHARSET'
'HTTP_ACCEPT_ENCODING'
'HTTP_ACCEPT_LANGUAGE'
'HTTP_CONNECTION'
'HTTP_HOST'
'HTTP_REFERER'
HTTP_REFERER as a feature. In short, it cannot really be trusted.
'HTTP_USER_AGENT'
 
y en concreto la SERVER_NAME tiene una anotacion que dice lo siguiente:

    Note: Under Apache 2, you must set UseCanonicalName = On and ServerName. Otherwise, this value reflects the hostname supplied by the client, which can be spoofed. It is not safe to rely on this value in security-dependent contexts.

Que deja claro lo que hace.
En línea

42
NoBullshit


Desconectado Desconectado

Mensajes: 306



Ver Perfil
Re: Vulnerabilidad WP
« Respuesta #7 en: 7 Mayo 2017, 08:18 »

Ahhhh ya decía yo, que en la documentación de php no veía nada de eso. Gracias xq la verdad que sí es para tenerla en cuenta sí. No se puede confiar uno ni en las variables globales xD
En línea

3 horizontes para allí, están pasando cosas
animanegra

Desconectado Desconectado

Mensajes: 30



Ver Perfil
Re: Vulnerabilidad WP
« Respuesta #8 en: 10 Mayo 2017, 16:46 »

Lo copie y lo pegue de la documentación oficial de PHP. No se donde miras la documentación de php, yo la miro en php.net.

Saludos
« Última modificación: 11 Mayo 2017, 11:25 por animanegra » En línea

42
NoBullshit


Desconectado Desconectado

Mensajes: 306



Ver Perfil
Re: Vulnerabilidad WP
« Respuesta #9 en: 10 Mayo 2017, 22:15 »

Ah pues no di con el sitio xD
En línea

3 horizontes para allí, están pasando cosas
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
por que es una vulnerabilidad???
Desafíos - Wargames
m4rc14n0sk4t3 2 1,500 Último mensaje 7 Diciembre 2003, 16:40
por hackrock
vulnerabilidad???
Bugs y Exploits
Dark_Knight 3 2,244 Último mensaje 25 Marzo 2007, 22:49
por Dark_Knight
vulnerabilidad cgi
Hacking Básico
Achernar 0 562 Último mensaje 15 Febrero 2008, 23:47
por Achernar
Vulnerabilidad RFI?
Nivel Web
Littl3 8 4,929 Último mensaje 18 Junio 2008, 15:49
por Littl3
vulnerabilidad smf 1.1.11 « 1 2 »
Nivel Web
alxx 13 5,493 Último mensaje 3 Febrero 2010, 21:08
por alxx
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines