sábado, 16 de enero de 2016

Seguridad en WordPress con WPScan

WordPress posiblemente sea el CMS más popular para generar blogs y uno de los factores que más nos preocupan cuando tenemos un blog es que este sea seguro. Hay muchos post que indican lo que hay que hacer para realizar una instalación segura de WordPress pero no he encontrado muchos que permita comprobar en cinco minutos indicios de que una instalación ha sido realizada de una manera descuidada y por lo tanto que el blog esté parcial o totalmente al descubierto.
En primer lugar vamos a contextualizar si la instalación se realizó atendiendo a las recomendaciones mínimas de seguridad mediante las siguientes comprobaciones:
1.- Intentamos acceder al archivo http://nombre_del_blog/readme.html, que de encontrarse nos indicará un descuido grave ya que en él podremos obtener información valiosa como la versión de php y base de datos, versión de WordPress,...etc y por ende conocer y explotar las vulnerabilidades de esas versiones.


2.- Intentamos acceder a http://nombre_del_blog/wp-login.php que de ser visible por cualquiera indicará que el blog es susceptible a ataques por fuera bruta y que el administrador en ningún caso se ha preocupado de securizar lo más mínimo el blog. Este php es recomendable que esté en otra localización y proteger su acceso mediante contraseña con .htpasswd por ejemplo, además deberemos incluirle un chaptra en la pantalla de login.


3.- Intentamos acceder a http://nombre_del_blog/wp-admin/install.php que de estar nos confirmará que nos enfrentamos a un blog instalado o administrado por alguien que no ha tenido en cuenta ninguna de las recomendaciones de seguridad básicas y por tanto estará muy descubierto.


Como hemos podido ver, con unas comprobaciones rápidas podemos ver si vamos a auditar un blog altamente complicado de penetrar o por el contrario nos encontramos con un blog absolutamente vulnerable. Esta información nos hace suponer además que la complejidad de las contraseñas va a ser baja y que tendrá una gran cantidad de paquetes desactualizados que nos permitirá explotar alguna brecha de seguridad de ellos. A partir de este punto y viendo lo frágil que es el blog del ejemplo, vamos a utilizar WPScan para confirmar estas sospechas.

¿Que es WPScan?

WPScan es una herramienta que nos permite obtener un listado de vulnerabilidades de un blog además de otras muchas cosas como usuarios dados de alta en Wordpress,...etc. Hay muchos plugins que podemos instalar en Wordpress que permiten esto pero lo interesante de WPScan es que lo realizamos desde fuera del blog y de esta manera lo podemos usar para auditar cualquier blog y ver lo que podría ver un tercero malintencionado.

¿Como se instala?

WPScan es un proyecto dirigido por erwanlr y publicado en Github que podemos instalar como cualquier otro proyecto publicado en él.
1- Instalamos las dependencias que necesitaremos para ejecutarlo:
root@:/home/rencinar/software:~# apt-get install git libcurl4-gnutls-dev libopenssl-ruby libxml2 libxml2-dev libxslt1-dev ruby-dev ruby  make
2- Generamos una carpeta que contenga WPScan cuando lo descarguemos:
root@PC:/home/rencinar/software# mkdir /home/rencinar/software/wpscan
3-Entramos en la carpeta que hemos creado:
root@PC:/home/rencinar/software# cd  /home/rencinar/software/wpscan
4- Descargamos el proyecto WPScan:
root@PC:/home/rencinar/software/wpscan# git clone https://github.com/wpscanteam/wpscan.git
5-  Instalamos el proyecto:
root@PC:/home/rencinar/software/wpscan/# gem install bundler && bundle install --without test development
6- Ejecutamos WPScan para ver que todo ha ido bien:
root@PC: /home/rencinar/software/wpscan#cd wpscan
root@PC:/home/rencinar/software/wpscan/wpscan# ruby wpscan.rb --help
_______________________________________________________________
        __          _______   _____                 
        \ \        / /  __ \ / ____|                
         \ \  /\  / /| |__) | (___   ___  __ _ _ __ 
          \ \/  \/ / |  ___/ \___ \ / __|/ _` | '_ \
           \  /\  /  | |     ____) | (__| (_| | | | |
            \/  \/   |_|    |_____/ \___|\__,_|_| |_|

        WordPress Security Scanner by the WPScan Team
                       Version 2.9
          Sponsored by Sucuri - https://sucuri.net
   @_WPScan_, @ethicalhack3r, @erwan_lr, pvdl, @_FireFart_
_______________________________________________________________

Help :

Some values are settable in a config file, see the example.conf.json

--update                            Update the database to the latest version.
--url       | -u <target url>       The WordPress URL/domain to scan.
--force     | -f                    Forces WPScan to not check if the remote site is running WordPress.
--enumerate | -e [option(s)]        Enumeration.
  option :
    u        usernames from id 1 to 10
    u[10-20] usernames from id 10 to 20 (you must write [] chars)
    p        plugins
    vp       only vulnerable plugins
    ap       all plugins (can take a long time)
    tt       timthumbs
    t        themes
    vt       only vulnerable themes
    at       all themes (can take a long time)
  Multiple values are allowed : "-e tt,p" will enumerate timthumbs and plugins
  If no option is supplied, the default is "vt,tt,u,vp"

--exclude-content-based "<regexp or string>"
                                    Used with the enumeration option, will exclude all occurrences based on the regexp or string supplied.
                                    You do not need to provide the regexp delimiters, but you must write the quotes (simple or double).
--config-file  | -c <config file>   Use the specified config file, see the example.conf.json.
--user-agent   | -a <User-Agent>    Use the specified User-Agent.
--cookie <String>                   String to read cookies from.
--random-agent | -r                 Use a random User-Agent.
--follow-redirection                If the target url has a redirection, it will be followed without asking if you wanted to do so or not
--batch                             Never ask for user input, use the default behaviour.
--no-color                          Do not use colors in the output.
--wp-content-dir <wp content dir>   WPScan try to find the content directory (ie wp-content) by scanning the index page, however you can specified it.
                                    Subdirectories are allowed.
--wp-plugins-dir <wp plugins dir>   Same thing than --wp-content-dir but for the plugins directory.
                                    If not supplied, WPScan will use wp-content-dir/plugins. Subdirectories are allowed
--proxy <[protocol://]host:port>    Supply a proxy. HTTP, SOCKS4 SOCKS4A and SOCKS5 are supported.
                                    If no protocol is given (format host:port), HTTP will be used.
--proxy-auth <username:password>    Supply the proxy login credentials.
--basic-auth <username:password>    Set the HTTP Basic authentication.
--wordlist | -w <wordlist>          Supply a wordlist for the password brute forcer.
--username | -U <username>          Only brute force the supplied username.
--usernames     <path-to-file>      Only brute force the usernames from the file.
--threads  | -t <number of threads> The number of threads to use when multi-threading requests.
--cache-ttl       <cache-ttl>       Typhoeus cache TTL.
--request-timeout <request-timeout> Request Timeout.
--connect-timeout <connect-timeout> Connect Timeout.
--max-threads     <max-threads>     Maximum Threads.
--throttle        <milliseconds>    Milliseconds to wait before doing another web request. If used, the --threads should be set to 1.
--help     | -h                     This help screen.
--verbose  | -v                     Verbose output.
--version                           Output the current version and exit.


Examples :

-Further help ...
ruby wpscan.rb --help

-Do 'non-intrusive' checks ...
ruby wpscan.rb --url www.example.com

-Do wordlist password brute force on enumerated users using 50 threads ...
ruby wpscan.rb --url www.example.com --wordlist darkc0de.lst --threads 50

-Do wordlist password brute force on the 'admin' username only ...
ruby wpscan.rb --url www.example.com --wordlist darkc0de.lst --username admin

-Enumerate installed plugins ...
ruby wpscan.rb --url www.example.com --enumerate p

-Enumerate installed themes ...
ruby wpscan.rb --url www.example.com --enumerate t

-Enumerate users ...
ruby wpscan.rb --url www.example.com --enumerate u

-Enumerate installed timthumbs ...
ruby wpscan.rb --url www.example.com --enumerate tt

-Use a HTTP proxy ...
ruby wpscan.rb --url www.example.com --proxy 127.0.0.1:8118

-Use a SOCKS5 proxy ... (cURL >= v7.21.7 needed)
ruby wpscan.rb --url www.example.com --proxy socks5://127.0.0.1:9000

-Use custom content directory ...
ruby wpscan.rb -u www.example.com --wp-content-dir custom-content

-Use custom plugins directory ...
ruby wpscan.rb -u www.example.com --wp-plugins-dir wp-content/custom-plugins

-Update the DB ...
ruby wpscan.rb --update

-Debug output ...
ruby wpscan.rb --url www.example.com --debug-output 2>debug.log

See README for further information.


Una vez que tenemos correctamente instalado WPScan podremos empezar con nuestra auditoría. Para ello podéis consultar el artículo comandos importantes con WPScan que es la segunda parte de este post.

No hay comentarios:

Publicar un comentario