Brute force av Wordpress-sida

Ok ska vila lite och läsa på lite om wordpress hack och exploits.

Det finns alltså 1 sida som jag verkligen vill komma in i, det är en wordpress sida. Hemsidan ser ut som 90tals projekt så ägaren är inte it-proffs. Har pausat mina försök här då man blir blockad iaf om man kör WPScan men inte om man försöker logga in via webbläsaren, men ska testa nått annat när jag har läst på lite mera.

Har testat WPScan appen och den kommer med ganska bra info om sidan, plugins, lite filer, wordpress version och lite till. Plus så går det bruteforca med det men vissa saiter blockar en.

Nu har jag hittat en annan wordpress sida där man inte blir blockad. Bara för att testa vilka som blockar och inte. Ville testa WPScans bruteforce hastighet.

Men... WPScan är fan segt, typ 1 lösenord var 10 sekund.

Vad kan det bro på? Är det min dator eller är den hemsidan som jag försöker "hacka"?

Wpscan brukar polla på login.php filen för och se vilka användare som sidan har. Administrator är det vanligaste användarnamnet för wp-sidor. Du kan köra en bruteforce scanner med valfri ordlista mot användarnamnet. En annan klassiker är ju att köra wpscanner för och hitta pluginsen och dess version, sen får man googla potentiella exploits som pluginet kan inneha. Minns det var väldigt vanligt under min tid som webbtekniker att div wp-siter blev hackade pga versionen i div plugins.

Rubrik korrigerad.

Utgående rubrik: 1 lösenord var 3e sekund bra eller dåligt?

Ny rubrik: Brute force av Wordpress-sida

Vill även påminna folk att, ja, försöka hålla sig till topic. Ja, i den här tråden också. Tänka sig.

/Moderator

Hittade denna hack för att hitta admins användarnamn.

hemsida.se/wp-json/wp/v2/users

Så kommer den stå där nånstans bland all kod. Alla admins heter inte "admin"

Lönlöst att knäcka dörren
Oftast har någon glòmt ett fönster öppet

Ja lite simpelt förklarat så ska du ha ett unikt lösenord som någon aldrig tidigare använt. Utöver det ingenting som finns med i någon ordlista någonstans.

Som du förstår är det fullkomligt omöjligt att ha sådana lösenord till alla olika inloggningar man har i huvudet. Därför ska man ha (ett måste) en lösenordshanterare där du kan både generera och spara alla dessa inloggningar.
Jag själv kör med 1Password och kan rekommendera den. 5$ per månad och går att köra både i telefon och på datorn.

När du skapar ett lösenord på en hemsida så i 99% av fallen så hashas dessa lösenord och sparas i dess databas. När du sedan loggar in på sidan igen så jämförs ditt lösenord med hashen som finns sparad i databasen. Stämmer dessa överrens så loggas du in.
I annat fall ska du få upp "användarnamn eller lösenord är fel". Får du bara upp "lösenordet är fel" är det en säkerhetsbrist i sig och webansvarige ska få ett nyp i örat.

Det finns flera sätt att komma åt lösenord, antingen frågar man (du skulle bli förvånad hur korkade en del människor är). Eller så testar man några kända kombinationer (Brute Force). Vanligtvis ~top 10 mest använda lösebord, hans/hennes personnumner, barnens personnummer, en kombination av dessa eller något att som ofta kopplas ihop med personen.

Ett annat sätt är att ta sig in på servern, ta en databasdump och testa alla lagrade lösenord i lugn och ro. Nu får vi hoppas att webansvarige använder sig utav en stark hashalgoritm (gärna med ett salt också. En serie nonsens kombinationer som slängs in för att förvilla) så lösenorden som finnss där bara består av massa kombinationer av bokstäver och siffror.

Även om ett lösenord är hashat är det inte helt 100% säkert. Det räcker att ditt "unika" lösenord har blivit knäckt i någon av alla andra miljoners miljarder dumpar med hashade lösenord ör att det ska finnas lagrat i en s.k dictionary eller m.h.a Rainbow Tables.

Om vi skapar ett lösenord "abc123" och hashar detta med låt säga MD5 (det kan du göra här https://www.md5hashgenerator.com/)
Så får vi följande kombination "61bd60c60d9fb60cc8fc7767669d40a1"
Denna kan du dekryptera eller i Md5s fall körs en s.k reverse på med ex. https://www.md5online.org/md5-decrypt.html

Varför du hittar abc123 är för att det redan finns med i en ordlista.

Hoppas du blev lite klokare av vikten med unika lösenord och varför man ska blanda kombinationer m.m.

MD5 är bara en typ av hashalgoritm som använder sig utav komplexa matematiska formler. Finns både säkrare och mindre säkra alternativ.

F.ö kan du testa ditt lösenord här https://haveibeenpwned.com/Passwords
Även om det inte finns med där är det ingen garanti att det aldrig blivit knäckt.

Sajten är skapad av Troy Hunt, en välkänd australiensk säkerhetskonsult. Så den kan anses säkert.

Tusen tack för ditt svar! Verkligen.

Du får en stor virtuell guldstjärna av mig!

Medveten om det. Är ganska så noobig när det gäller "hacka". Men förstår ganska mycket om hemsidor och sånt där. Koder och sånt. Kan läsa och googla.

Det är liksom det enda sättet att komma in som jag kommer på just nu. Man hoppas ju bara på att admins har kass lösenord.

Det bästa hade varit 100-1000 lösenord i sekunden eller nått inte 1 lösenord i sekunden som jag kör just nu.

Här är liten guide till andra som kanske är sugna på att testa "hacka" med WPScan.
Detta hackar endast wordpress sidor och är väldigt nybörjar vänligt.

Installera WPscan på din dator det går att installera på windows. Du kommer säkert få error libcurl.dll eller nått saknas ladda ner filen och lägg den i C:\Ruby31\bin

Öppna powershell i windows.

Skriv cd.. sen cd.. sen cd.. tills du bara har C:/ rutan.

Lägg din password.txt filen i C:/

Dessa kommando funkar för mig.

Hitta admins användarnamn. Hittade också admins namn och efternamn med denna kommando.


Brutefroca lösenord. Du kan ändra max threads till 1-50. Blir du blockad och får massa errors, skit i sidan. Ändra usernames admin till de användare du hittade med förra kommando.


Scanna sidan för att se ganska så bra info. Plugins, php version, wordpress version, tema och lite annat.


Du kan också hitta admins användarnamn genom att bara gå in på denna url, den finns där bland all kod.


Leta efter vurnable plugins på wordpress sida.

För bruteforce så vill du alltså försöka ta dig in via login med antingen färdiga listor av användarnamnasswords eller genererade listor eller ordlistor.

Finns mängder av applikationer som gör detta, om sidan har en softban efter 10x försök så kan du alltid köra residential proxies som finns billigt om man vet vart man letar, notera att billiga alternativ kan komma med risker och kan vara gråzonat/svartzonat.

https://www.imperva.com/learn/applic...-force-attack/

--redigerat--

Sen finns det andra saker du kan göra för att ta dig in i systemen utan att försöka komma på "legitimt sätt", men hör inte hit.

Juste, dwt kanake finns iWpScan ändå, jaja. Varför kan du inte kära Kali? Kör du i någon VM?

Vad tänkte du på? Databasen? hemsida.se/phpmyadmin ?
Ta reda på ägarens namn efternamn och hitta personen på facebook och skicka ett virus/rat?
Mejla ägaren om man hittar mejlet med virus/rat?