Détection de plugins WordPress par Bruteforce

Publié le 13 avril 2011


Elementary
Il faut bien l'avouer, les failles de sécurité dans WordPress sont plutôt rares. En général, lorsqu'un site qui utilise ce CMS se fait pirater, c'est à cause d'une faille de sécurité située au niveau d'un plugin tiers. Voici donc une technique basée sur Metasploit, qui permet de deviner par méthode bruteforce, les noms des plugins utilisés par un site sous WordPress.

Dans un premier temps, nous allons récupérer un dictionnaire qui contient pas moins de 10 000 noms de plugins WordPress :

$ wget www.tux-planet.fr/public/hack/dicos/wordpress-plugins
$ wc -l wordpress-plugins
10006 wordpress-plugins

Ensuite, on se connecte sur la console de Metasploit. Dans notre exemple, nous allons utiliser le module dir_scanner, spécialisé dans la détection de répertoires par bruteforce. On configure donc celui-ci en adaptant les informations en fonction du site ciblé :

$ ./msfconsole -n
msf > use scanner/http/dir_scanner
msf > info
msf > set THREADS 50
msf > set DICTIONARY wordpress-plugins
msf > set RHOSTS 96.85.124.16
msf > set VHOST www.cible.fr
msf > set PATH /wp-content/plugins/
msf > exploit

Concernant la lecture du résultat, il faut savoir que toutes les erreurs 403 (acces forbidden) permettent de confirmer la présence d'un plugin sur le site :

[*] Found http://www.cible.fr/wp-content/plugins/all-in-one-seo-pack/ 403
[*] Found http://www.cible.fr/wp-content/plugins/akismet/ 403
[*] Found http://www.cible.fr/wp-content/plugins/wp-super-cache/ 403

Il donc assez facile pour un hacker de trouver avec exactitude les noms des plugins utilisés dans un WordPress. La meilleure parade pour éviter tout piratage par la suite, est de mettre vos plugins à jour régulièrement.

Source


12 Commentaires pour "Détection de plugins WordPress par Bruteforce"

Flux des commentaires de cet article Ajouter un commentaire
  •  

    J'utilise jusqu'à présent wappalyzer pour connaître le moteur derrière un site !

    Maintenant je peux remonter jusqu'au plug in wp !

    génial comme astuce ! merci !

    nota : est que la chose est faisable pour Joomla ou autres (en changeant le set path biensur) ?

    merci encore

    Sebastien

    informatique Grenoble , le 13 avril 2011 à 08:14
  •  

    Juste pour dire que c'est pas une attaque brute force mais une attaque par dictionnaire, puisque tu utilise ... un dictionnaire.
    En brute force tu testerai toutes les combinaisons possibles de lettres et/ou chiffres/caractères spéciaux.

    Mais bon c'est du chipotage.

    Continue comme ça ton site et sympa et les article toujours intéressant.

    bibitte , le 13 avril 2011 à 11:50
  •  

    En fait d'un point de vue sémantique le terme de "force brute" est tout à fait approprié : ceci désigne l'attaque, la méthode. On appelle ceci "force _brute_" par référence à la notion de brutalité, par opposition à la notion d'intelligence : on va tester une liste exhaustive ou non d’occurrences compatibles avec le service jusqu'à en trouver une qui "match".

    Au sein de cette attaque se trouve le payload, ce qu'on envoie, les occurrences justement. Ce contenu peut être pseudo-aléatoire (non humainement intelligible) ou une liste de mots appartenant à un champ sémantique générique ou spécifique : c'est alors la définition d'un dictionnaire.

    C'est un peu comme une fusée : il y a le propulseur et dans le nez, la charge. Ca peut être des têtes nucléaires ou un satellite météo, il n'empêche que le "truc qui porte" s'appelle toujours de la même façon : c'est une fusée.

    Gutek , le 13 avril 2011 à 19:27
  •  

    bien gentil cet article, mais la parade (à part les mises à jour), c'est quoi?

    Ben , le 14 avril 2011 à 08:01
  •  

    @informatique Grenoble : la même chose doit être possible pour joomla, par contre il te faudra trouver un diconnaire comportant le nom des plugins Joomla.

    @bibitte @Gutek : merci, c'est noté pour la différence entre bruteforce et dico.

    @Ben : moi je ne vois pas d'autre méthode...

    pti-seb , le 14 avril 2011 à 08:14
  •  

    @Ben : Ne pas utiliser de plugins lol

    Fugitif , le 15 avril 2011 à 12:17
  •  

    un petit .htaccess sur le dossier wp-content/plugins et hop c'est réglé :)

    Lyes , le 15 avril 2011 à 14:21
  •  

    @Lyes : Et comment tu fait si tu a des plugins qui sont utiliser par les visiteurs (WP Ajax Edit Comments par exemple) ?
    Tu peu pas tout filtrer via un htaccess

    Fugitif , le 15 avril 2011 à 17:33
  •  

    Le nom des répertoires plugin n'est nullement imposé. Changer les noms par défaut de ces répertoires devait suffire pour mettre à mal cette méthode.

    Pit32 , le 16 avril 2011 à 19:15
  •  

    Bonjours, je possède un site sous Worpress et ne voit pas en quoi est e vraiment gênant qu une personne voit le nom de les plugins. Quelqu un peut me dire en quoi est ce utile. Et comment met on a jour les plugins?

    KBtarantino , le 23 mai 2011 à 20:47
  •  

    Bonjour

    Est-ce que la liste tux-planet.fr/public/hack/dicos/wordpress-plugins est à jour ?
    Je vois que le domaine de la source est down ...
    Merci de ce tuto.

    Denis , le 29 décembre 2012 à 13:50
  •  

    @Denis : non elle n'est pas à jour. Mais si tu en a une plus récente, je suis preneur.

    pti-seb , le 31 décembre 2012 à 09:00

actualité android apache apple astuce astuces bash bilboblog blog boot chrome clavier commande commandes conky date debian Desktop développement elementary exploit faille fedora firefox flash gimp gnome google graphique Graphisme hack hacking Hardware humour intel internet iphone jailbreak Jeux Kde kernel libre Linux log logiciels Logiciels Libres lucid lynx maemo mail maquette metasploit microsoft mobile mockup monitoring mozilla multi-touch musique mysql n900 nautilus nokia noyau openoffice open source password photos php Planet publicité redhat red hat rpm réseau screenshot script serveur serveurs shell sql ssh statistiques sysadmin system Sécurité thème tux-planet tv twitter ubuntu unity vidéo vidéos vlc voyage wallpaper windows wordpress yum