Ergebnis 1 bis 5 von 5
  1. #1
    W32.Lovgate Avatar von schteal
    Registriert seit
    10.12.2006
    Beiträge
    373

    Standard Wordpress Seiten hacken

    Hallo,

    ich kenne selber auch natürlich so einige Methoden, man lernt aber niemals aus und da ja wp ein weit verbreitetes cms ist, sollte man da auch immer mal wieder seine skills updaten

    Somit frage ich mich ob jemand Tutorials hat / erstellen kann für aktuelle WP Versionen. Am liebsten keine XSS


  2. #2
    0x4d6f64 Avatar von Barny
    Registriert seit
    12.01.2007
    Beiträge
    581

    Standard AW: Wordpress Seiten hacken

    Was genau suchst du denn?

    Anhand deines letzten Satzes interpretiere ich hier einfach mal rein und gehe davon aus, dass du auf der Suche nach technischen Sicherheitslücken bist. Hierzu kann ich dir nur empfehlen dir eine aktuelle Version von Wordpress zu laden und dir den Source anzuschauen. Wenn du eine Lücke finden solltest, dann kannst du diese ja public machen. Die Chancen stehen aber denke ich eher schlecht im Core noch was zu finden mit dem man etwas anfangen kann. Das letzte "dicke Dingen" gab es denke ich mit der Einführung der REST-API in Wordpress 4.7. Hier wurde beim validieren eines Parameters gepatzt und eine SQL-Injection möglich gemacht. Hier gibts dazu Näheres: https://blog.sucuri.net/2017/02/cont...-rest-api.html
    Die Lücke wurde mit der Version 4.7.1 wieder geschlossen und sollte (ich hoffe einfach mal^^) nicht mehr wirklich im Netz zu finden sein. Aber es gibt glaube ich immer den einen oder anderen der einfach nicht updaten will.^^

    Ansonsten liegt das Hauptaugenmerk bei Wordpress insbesondere auf den Plugins. Diese sind immer häufiger vuln und erhalten oft nur bedürftig Updates (wenn wir hier mal die namhaften Plugins rausnehmen), was natürlich die eigene Wordpress-Seite zu einer riesigen Zielscheibe macht.

    Fazit: Lade dir Wordpress runter und schaue dir den Core an. Vielleicht wirst du fündig und wenn nicht, dann installiere dir beliebte Plugins und schaue dir davon den Code an oder probiere damit lokal rum. Hast du ein genaues Ziel, dann kannst du auch mit Hilfe des Programms "wp-scan" (so hieß es doch, oder?^^) dein Ziel nach installierten Plugins scannen und diese "Seite" lokal nachbauen, um gewisse Angriffsszenarien einmal durchzuspielen. Ansonsten finden sich im Netz auch viele fertige Exploits für diverse Wordpress-Plugins. Hierzu einfach mal die gängigen Exploit-Db´s durchstöbern. Wenn du was interessantes findest oder du Fragen zu einem Exploit hast, dann kannst du gerne dazu einen Thread eröffnen. Dir wird mit Sicherheit geholfen.

    Habe ich deine Frage beantworten können oder ging das in die komplett falsche Richtung?

    Viele Grüße,

    Barny

    ~~~ Blog ~~~
    ~~~ PGP-Key ~~~

  3. Folgende Benutzer haben sich für diesen Beitrag bedankt:

    BadboyGER (14.08.2017)

  4. #3
    W32.Lovgate Avatar von schteal
    Registriert seit
    10.12.2006
    Beiträge
    373

    Standard AW: Wordpress Seiten hacken

    hallo lieber barny, erstmal danke für deine ausführliche antwort!
    ja naja die falsche richtung wars nicht

    ich kenne natürlich aufm localhost 0days suchen, darum ging es mir aber nicht. ich meinte eher was die aktuell gängigen methoden und vorgehensweisen bei bekannten lücken sind. Das mit der REST API hab ich auch schon gelesen, sowas meine ich


  5. Folgende Benutzer haben sich für diesen Beitrag bedankt:

    Barny (14.08.2017)

  6. #4
    Fortgeschrittener
    Registriert seit
    18.12.2010
    Beiträge
    34

    Standard AW: Wordpress Seiten hacken

    Ich versuche immer herauszufinden, welche Plugins installiert sind. Da findest du eher was als im WP Core selbst.
    Entweder du schaust in der Developer Konsole nach, aus welchem Pfad die Ressourcen geladen werden, die verraten die meistens schon welche Plugins installiert sind (z.B. http://url/wp-content/plugins/awesome-plugin/style.css).
    Dann suche ich auf Exploit Seiten ob es aktuelle Exploits gibt, z.B. https://wpvulndb.com https://www.exploit-db.com ansonsten selber den Code anschauen und schauen ob man was findet.

    Es ist immer besser so viele Infos wie möglich über die Seite zu haben, ein paar Tools erleichtern dir dabei die Arbeit.
    Um ein paar zu nennen:
    https://wpscan.org
    https://hackertarget.com/wordpress-security-scan
    https://wpscans.com

    Das sind so die Seiten, die ich nehme.

    Manchmal ist auch Directory indexing ohne index.html/php, das ist auch sehr praktisch.

  7. Folgende Benutzer haben sich für diesen Beitrag bedankt:

    schteal (15.08.2017)

  8. #5
    W32.Lovgate Avatar von schteal
    Registriert seit
    10.12.2006
    Beiträge
    373

    Standard AW: Wordpress Seiten hacken

    hi cheetah182, du kannst dir gar nicht vorstellen wie glücklich ich über deinen post bin. Exakt so gehe ich auch immer vor, sogar mit exakt selben seiten. und manchmal wpscan von kali.

    das ist genau die richtung die ich meinte gibts weitere vorgehensweise leute ?


Ähnliche Themen

  1. myex seiten hacken...
    Von tiuna im Forum Suche Tutorials
    Antworten: 2
    Letzter Beitrag: 26.11.2008, 18:14
  2. PHP seiten Hacken
    Von King Gangster im Forum PHP
    Antworten: 7
    Letzter Beitrag: 29.01.2008, 16:07
  3. Webspell Seiten Hacken
    Von d1s2 im Forum Video-Tutorials
    Antworten: 16
    Letzter Beitrag: 11.09.2007, 23:40

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •