Analisando Vulnerabilidades Wordpress com WPscan (caso real de Pentest)

Reco-cola, vamos hoje utilizar o WP Scan e naturalmente eu te garanto vamos ter sucesso. Bom, vou falar para vocês que o WordPress ele é uma solução usada no mundo inteiro e por muita gente. E naturalmente você tem pessoas que são miseráveis, aquelas pessoas que são miseráveis e preguiçosas, não vão querer gastar dinheiro com uma defesa de uma tal de sucuri. É coleguinha, a sucuri está atrás de você meu amigo. Sucuri para o WordPress é uma solução, o WordPress, sucuri é a parte de segurança do WordPress. Se você quer ir para o lado da luz, quer construir alguma coisa e ganhar dinheiro, na boa, sucuri é o exemplo de um negócio que foi para frente. Então você vai vir aqui e faz o seguinte, olha só, ah, pera aí, WordPress.com, certo? Opa, WordPress não, desculpa. Vamos colocar aqui WPscan.com. É outro negócio, é pago. Tem uma versão gratuita no Cali que permite que você consiga fazer uma análise de um site, mas não dois, não três. E aí você tem que sempre ficar criando contas, cara, e trabalhando com VPN, isso é ruim. Então você tem que vir aqui, naturalmente, e você tem que contratar o serviço dos caras se quiser utilizar todo o potencial do WPscan. Se você quer, como eu posso dizer, fazer um negócio concorrente do WPscan tem mercado sim, tem mercado sim. Beleza? Vou discutir sobre questão de vulnerabilidade daqui a pouquinho, vou explicar como você tem mercado para isso. Legal? Vamos lá. Ah, coleguinha, tudo que faz sucesso ganha um scan. Ah, lembrando que se você criar uma tecnologia e fizer sucesso, meu amigo, tu vai virar alvo de scan com certeza. WPscan é uma ferramenta de scan. E o legal que o nosso objetivo aqui, nesse ponto do pen teste, é obter informações. Nosso objetivo não é testar vulnerabilidades e tudo mais. E não deveria ser localizar CVS, por enquanto. CVS é mais para frente, um pouquinho mais para frente. Nós estamos muito no início do projeto. Mas o WPscan, além de enumerar as versões, o que tem em um site WordPress, ele também cruza com banco de dados e nos traz o CVE pronto. Quer dizer, nos traz o código de CVE, que nós podemos então fazer uma análise. Mas preste atenção, não seria foco nesse momento trazer o código do CVE, mas a ferramenta traz, né, fazer o quê? Só para vocês terem uma noção, eu criei uma conta gratuita do WPscan só para dar essa aula, certo? Foi feito um scan no nosso contratante que todo mundo sabe que é o MUFA.gov.mm de me amar. Eu usei algo em torno ali de nove pontinhos dele lá. Ele me dá 25 pontos para eu gastar. Eu sei lá o que é esse ponto. É o número que ele inventou aleatório. E aí, naturalmente, eu usei nove de 25 e ainda consigo fazer de um site pequeno. Mas lembre-se que o MUFA, ele é um site pequeno. Ele tem algo em torno de seis, sete componentes e um tema básico idiota. Em um site muito complexo, grande, esses 25 aí não dá para nada. Já vou te avisar. Você vai lá em reconhecimento e informações, vai lá em vulnerabilidades web, scan de vulnerabilidade web, vai localizar o nosso amigo WPscan lá embaixo. Quem vai abrir o terminal? Por que você vai no menu ser já abro o terminal? Abro o terminal e digita WPscan traço H. Por isso que eu falo, né? O Kalilinux, ele é uma puta distribuição gigantesca que a maioria dos comandos e tudo que você faz é no terminal. Você poderia muito bem usar um Fedora. Você poderia muito bem usar um Debian que seria mais limpo, mais cru. O WPscan já vem instalado. Mas você naturalmente precisa de colocar uma API key. Vamos lá. Aqui eu tenho o comando no Kalilinux no terminal, certo? Muito simples. WPscan, traço traço URL, HTTP, HTTPS, vai depender do site, o site que você quer. Eu utilizei o parâmetro random user agent. Primeira coisa, VPN ativada. Não utilize sem a VPN. Random user agent vai criar usuários randomicos de tal forma que o mofa.gov.mm ele vai achar que na minha infraestrutura tem muitas máquinas. Como se fosse uma escola, como se fosse um ambiente público de computadores. E isso é importante. Porque o mofa.gov.br tem o WAF ativo. O WAF é firewall de aplicação. Eu não coloquei aqui. Mas eu testei antes se tinha o WAF e bateu que tem o WAF do sucuri. A sucuri está atrás, colega, de tudo isso. Logo em seguida, eu coloquei traço traço API traço token. E aí eu coloquei a minha API obtida aqui. Então você vai lá e register. Gera o registro, vai te dar uma API aqui. Você vai conforme eu falei ter 25 créditos aqui que eu vou chamar de créditos. Copia isso aqui. Então coloca aqui atrás do comando. Beleza? E aí ele vai disparar contra o mofa.gov.mm. Logou o IP que já está na nossa lista de IPs do mofa. E aí ele começou. Deu início, start, tudo mais. Eu evito colocar o horário que eu estou acessando o computador, mas infelizmente ele colocou e eu não acabei não apagando. Bom, uma informação que ele encontrou nós já temos. Que é um engine X. Legal. Isso é importante. Mais uma ferramenta para nos garantir que é um engine X. Engine X tem vulnerabilidade se nós vamos bater nela daqui a pouco. Aqui a pouco nós vamos, ou seja, o próximo vídeo, olhar o engine X. Que diabo de versão tem lá no engine X. Aí ele foi, ele vai disparando e você fica aqui praticamente olhando. Nada de ficar com o celular aberto. Fica aqui olhando. E aí de cara ele localiza uma vulnerabilidade, na verdade, é uma vulnerabilidade. Vou classificar como vulnerabilidade. Que é um DDoS que eu posso aplicar dentro do Chrome. Como assim? Cara, isso aqui tem empainéis, web, isso aqui é uma falha. Que é o que? Você ter uma rotina em PHP ou em outro processo que você chama pelo PHP. Que você deixa assim na web e que internamente algum mecanismo fica executando aquilo a cada X período de tempo. Cara, isso aqui é uma merda. A verdade que isso aqui é uma merda. Porque se algum atacante perceber isso, ele vai colocar essa URL como possível alvo de ataque. Olha só. E aí ele vai disparar trocentas requisições para dar DDoS em você como. Geralmente essas rotinas do Chrome, como chamam rotinas mais internas, levam um uso de CPU e memória para o sistema operacional. Cara, isso é uma merda. Ou seja, quando você tem Wordpress que está dentro do Apache, você tem um isolamento. Quando você chama através de uma rotina do PHP alguma função ou algum comando do sistema operacional, você delega a memória para ele. E naturalmente você começa a sobrecarregar memória do servidor e não do Apache. Se um atacante ver isso aqui, ele vai jogar isso aqui, cara, lá no DDoS e vai disparar. Grande merda do universo, isso aqui. Então está anotado, coleguinha, já tem dois links aqui para falar sobre isso aqui. Espero que a minha VPN esteja ativa nesse momento. Olha, está ativa aqui, está descrevendo essa vulnerabilidade de RPC que você pode colocar. E naturalmente como você pode resolver esse problema? É um problema conhecido e não é algo somente do Wordpress. Tem números soluções que têm esse problema. Mas no Wordpress, a URL é conhecida. Lembra que eu falei para vocês? Com o Wordpress, tudo é conhecido. Você tem técnicas para se atacar isso aqui. Aqui é outro problema, na verdade, é a descrição do mesmo problema e ele explica que sobre a questão do Chrome e tudo mais. Bom, você tem uns exequíltes lá dentro e, cara, isso aí dá um monte de merda. Está anotado. Vamos levar isso para o nosso cliente. Espera aí. Espera aí. Fomos nós. É só isso não, coleguinha. E aí ele vai fazer um fingerprint. Logo em seguida. Cara, isso aqui pode demorar 11 minutos. Com a VPN legal demorou 11 minutos. Com a VPN ruim pode demorar mais que isso. Então, ele vai fazer um fingerprint. E aí ele localizou que o meu cliente utiliza um tal de legal news como template do nosso amigo, do nosso Wordpress. Legal. A última versão dele lá é 1.3.5. Mas olha a merda. Quer ver? Quer ver? Cadê meu amiguinho? O seguinte, procurando internamente aqui, ó. Ah, está aqui, ó. Poxa, nessa linha aqui. Deixa eu ver se eu consigo aqui voltar aqui. Porque essa linha... Cara, fiz uma merda geral aqui, hein? Essa linha aqui está aqui, ó. Aqui. É bom que eu cortei sem querer aqui. Aqui você cortei sem querer. Vacilo meu aqui para dar aula, tá? Nessa linha, coloca que o cara está usando a versão 1.1.1. A versão 1.1.1. E a versão mais recente é 1.1.1.3. Desculpe. Aqui, ó. Então nosso cliente está muito defasado. A versão 1.1.1 é de mais de um ano atrás. Então ela vai forçar vulnerabilidades de 2025 e provavelmente vulnerabilidades de 2024. Isso é importante saber, tá? Legal. Essa vulnerabilidade, esse tema está aqui para download. E agora vem outro problema do meu cliente. Eu posso baixar esse tema e aprender as falhas que ele tem. E então disparar contra o meu cliente. Lembrando que aqui a versão 1.3.5 e o meu cliente aqui no final dessa linha está com a versão 1.1.1. É um problema, tá? Legal. Bom, outro ponto interessante. Ele não foi capaz de detectar do componente Advancet Accordion Block qual é a versão. Quando ele não consegue ele enumera todas as vulnerabilidades possíveis. Então tem aqui uma URL. Na verdade tem um componente que em uma determinada URL é possível, tá? Armazenar um cross-site scripting através de um upload via SVG. É uma vulnerabilidade que está no CVE 25, 25, 43. Está aqui o código da CVE. Lembre-se, a vulnerabilidade ela pode existir ou não existir porque aqui não foi possível definir qual é a versão do componente. Provavelmente a sucuri está bloqueando a requisição. Uma coisa que é importante que a sucuri percebe que está sendo executado WP Scan e ela passa a bloquear algumas URLs. Inclusive a URL dos CSS que tem a versão do componente. Nada te impede você de acessar o código do componente, verificar onde fica a versão e de forma sorrateira conseguir baixar isso aí. Vamos lá. Ex-Image Gallery, uma galeria de imagens também não foi possível detectar a versão. Mas olha só, tem uma vulnerabilidade lá, tá? Que armazena XSS e outra que armazena cross-site script via gallery. Provavelmente fazendo upload de arquivos de imagem. O pior arquivo de imagem para fazer upload, no caso, que você jamais pode aceitar é SVG. Procure por um negócio lá no PHP chamado MyBindType. PHP, MyBindType. Você vai vir fazer isso aqui, cara. Aqui, ó. Você chama essa função, você pega a função file. Espera aí, cara. Não, cara, esse código que está zoado, inteligência de merda. Aqui, ó. Inteligência artificial de merda. KD, KD, KD. Eles estão discutindo aqui, a GetMyMindType, né? Arquivo, file info. Ó, se existir um MyMindType, aí ele retorna o MyMindType. Negócio assim. É algo bem parecido com isso, tá? Meio chatinho. MyMindType manual. Você tem uma função chamada MyMindContentType, que aí ele dá o MyMindType. Só que fique atento se a tua função retorna o MyMindType do arquivo ou se retorna o MyMindType da extensão. É diferente. Tem tecnologia que não é capaz de compreender o MyMindType do objeto e aí retorna o MyMindType da extensão, porque é uma merda. As tecnologias PHP com Linux conseguem identificar o conteúdo. Isso aquilo é realmente, por exemplo, uma imagem. Então sim, Linux com PHP consegue pegar o real MyMindType. Legal? Tá, legal. Isso é importante. Provavelmente quem fez o plugin não sabe dessas coisas. Lembra do programa do merda, fazendo merda e dando merda pra todo mundo baixar? É isso aí, cara. Tá, legal. Tem outro componente que é o Kaya QR Code Generator. Provavelmente pra gerar Kaya Code, tá? Que tem uma vulnerabilidade de armazenamento de CSS, xss. Pô, cara, sequestro de sessão, né? Todo mundo aqui sabe. XSS pode levar sequestro de sessão e fácil. É só pegar a sessão da pessoa certa. Repare. Ó, vamos lá. Um componente, dois componentes, três componentes. Olha a pancada de possibilidades que nós já temos. Não foi possível detectar a versão. Se não tivesse o sul-core eu ia pegar a versão aqui e nós íamos cruzar com os números aqui, ó. Cruzar com esses números, tá? Cruzar com esses números. Vamos lá. Smart Slider 3. Olha só, 8 vulnerabilidades. Cross-site scripting. PHP Object Injection no PHP. Puta que pariu. Store xss. SQL Injection. A possibilidade de ler arbitrariamente um arquivo. Olha que monte de merda. Já é o quarto componente nosso. Esse é o quinto. Mais 8 vulnerabilidades. Chamada Jax. Ai que merda. Dá pra talvez você ler arquivos que não deveria. XSS aqui também. Eu não coloquei todos os 8, tá? Esse aqui acho que é o quinto componente. Nossa Senhora. Reflexão xss via Request-o-ri. Minha Nossa Senhora. Quanto sacrilegia. Nossa Senhora. Eu aqui no slide de calicar. Olha cara, se tiver 6 componentes aqui. 6 componentes. Devo testar essas vulnerabilidades. Mais um aqui, né? Um... Um counter idiota. Esse foi um counter idiota. Tiveram 6 componentes, tá? Agora você já imaginou aqueles WordPress. Que tem vendas. Que tem blog. Que tem suporte. Que tem tudo. Tu já pensou cara. Bom. Conforme eu falei nesse ponto. Eu deveria apenas pegar as versões das coisas que tem, tá? Que componente. Que tem. Que versão que tá. Eu não deveria ver e pegar CVS. Mas já que a ferramenta nos deu. Então podemos pegar. Tudo bem. Não seria o nosso objetivo. Muito menos é nosso objetivo nesse ponto do projeto. Testar se essas vulnerabilidades estão lá. Beleza? Olha a lista. Essa aqui é a lista. De CVS. Legal? Não seria. Mas eu poderia naturalmente pegar porque nos foi dado. Então fui lá logo em seguida no Telegram. Num blogzinho idiota. Um blogzinho, não. Uma áreazinha lá de chat idiota. Eu coloquei, eu copiei todos esses CVS no textim. Copiei linha, linha, tipo jogada assim. E mandei fazer uma análise. Vamos ver a análise desse negócio. Tem uns bug aqui, tá? A grande maioria são vulnerabilidades de XSS. O que é muito comum em componentes do tipo WordPress. Mas sempre o XSS pode levar a sequestro de sessão. Robo e sequestro de sessão. Capturando o PHP, tipo um ID de PHP da sessão. Vamos lá. Aqui cagou geral, tá? O mecanismo meu cagou geral. Não sei porque não fez, caguei, não sei. Não corrigi até hoje. Tem que parar para corrigir. 6.4. A problema de mecanismo de autenticação, provavelmente. Cross-site scripting. Aqui tem a descrição. O vetor 3.1 deveria ter conseguido ser carregada aqui os totais aqui. Deixa eu ver depois. Pela rede, complexidade baixa. Privilege não, praticamente não. Poxa, nem um tipo de interação do usuário na ponta é só disparar a base de conhecimento que eu tenho que saber. Aqui é toda a base de conhecimento de inject. É possível você fazer um inject com isso. E você consegue fazer esse inject em uma página. E acessar uma página. É um tipo de... É um CWE 79. Cross-site scripting. Vou explicar. Sempre quando você tem um grupo de programadores cometendo esse CWE, é comum que ele acabe cometendo mais erros, naturalmente, mais erros, desse CWE. Então nesse CWE, você teria... Vamos acessar o CWE aqui. Você tem várias vulnerabilidades, que se encaixam ali. É comum que ele cometa o mesmo erro várias vezes, em várias páginas. Então tem aqui, né? A descrição completa, que tipo de injeção que pode ser feito. Eu já deixei mastigado aqui, né? A grande chance, por exemplo, do cara executar essas vulnerabilidades. Quer dizer, executar não, deixar lá essas vulnerabilidades e muitas outras. E muitas outras, que estão ali associadas ao CWE 79. Então você pode tentar explorar as outras também, que se encaixam nesse esquema. Tem link, tem link, tem. Tem link no Vulmon. Tá, legal. São algumas referências. Aqui é uma outra vulnerabilidade. Ultimamente, Bloque Plugin. No Wordpress. Tem vulnerabilidade. Ah, quando eu não consigo achar o código, eu coloco só o título. O que é? Entendeu? Não tem muita descrição. Aqui também o Cross-site Scripting. Não consegui pegar o código 79 para colocar aqui, né? Embora tenha colocado o link aqui para vocês. Então olha só, eu quero pegar um. Eu quero procurar um aqui, que além de ter... Que eu consegui achar algum... Que eu consegui achar algum payload, né? Vamos colocar assim. Ah, não sei, ó. Repare, o tanto de CWE 79, né cara? Quanto que tem? Praticamente, você fica foda em explorar Cross-site Scripts, quando você mexe muito com o Wordpress. Cara, em um CVEs assim... Idiotas, cara. Idiotas, idiotas. Você vê que quem fez não sabe programar, cara. Cara, tu morrendo de fome. Tipo, a Riga tá roncando aqui, deve estar saindo, dando uma gravação. Tem que trocar essa cadeira, bicho. Essa cadeira tá uma bosta, tá? Fazendo barulhinho. Ah, cara, acho nenhum, cara. Nenhum tem. Nenhum tem. Oh, parou de funcionar, né? Eu fiz um código que vai na Dark Web procurar, se tem tipo de payload malicioso. Ó, não tem nenhum, cara. Acredito. Então, deu o pau no meu mecanismo. Na repara, cara, o tanto de vulnerabilidade... Eu só vou dar uma passada aqui, galera, pra ver se eu acho, tá? Vou fazer uma tabela mais bem resumida lá no início. Algo assim. Cara, realmente ficou muito boa, bicho. Mas demora, tá? Demora pra caramba. Só tô dando uma passada aqui, ao tanto de 79, cara. Praticamente todas as vulnerabilidades do CW de 79, então eu vou de preço. Não achou nenhuma, cara. Olha que interessante. Pode ser um pau na minha ferramenta. Vamos lá. Um 6.4. Ah, não pegou a... A severidade, 6, 6, 5, 6, 6, 6, 6, só. Pelo menos não estou vendo aqui... Opa, um 8.0. Esse aqui é foda. Se eu fosse um cara do mal, seria o primeiro CVE que eu tentaria. Eu não tentaria um CVE pela facilidade. Eu tentaria pelo quanto aquilo é danoso. E naturalmente, possível. Puta, cara, olha que interessante. Preste atenção, hein? Preste atenção. A última versão é a 3.5.1.12. E essa falha está ali, ó, na 3.5.1.11. É muito recente, cara. Não, desculpe, na 10, que isso é no caso, né? Antes dessa daqui. O nosso alvo, quer dizer, nosso amiguinho, está usando o tema 1.1.1, que é de um ano e pouco atrás, para dois anos. Tem grande chance disso aqui ser muito letal e está lá no cliente. Seria agora, naturalmente, depois de olhar isso aqui. Vou de olhar isso aqui com carinho, vamos colocar assim. Então você procura sobre... Vamos ver se nós temos alguma coisa no Vulmon 8.8. Tá? Foi publicado em 2022, sei não, hein, galera? Sei não, hein, estaria lá, porque o tema é de um ano e meio e dois anos atrás. Essa vulnerabilidade é de uns quatro anos atrás. Sei não, hein? Sei não. Está aqui. Para simular, né? Ó, dá para simular essa falha, hein? Mas lembre-se, não é nosso objetivo. Não é nosso objetivo. É olhar apenas a severidade e se vale a pena colocar ou não. Por que vale a pena? Eu não sei a versão que está lá, né? Oso, hein? Beleza. Lembrando que a deusa calica... Agradece aos criadores de Wordpress e a todos os seus usuários por manterem aí mais de 50% da internet que essa bosta. Parabéns a todos os envolvidos. Nós te adoramos. Qualquer dúvida estamos lá no Telegram, no X, com o Zorak.com.br e tem os contatos. Eu fui possuído por ela para poder extrazer essa apresentação e também, naturalmente, obrigado novamente a todos que mantêm o Wordpress ativo na rede mundial. Vocês ajudam muito lá do negro da força. Obtive esse template no slide Carnival. Daqui a pouco eu vou colocar todas essas informações no nosso documento de Penetrate e um teste de raporte. Dá um tapa nele e já apresentar para vocês a primeira versão ali com alguma informação. Porque agora nós já temos bastante informações aqui para colocar. Até mais, tchau!