Presentation for a lightning talk at WordCamp Turku 2018.

1. INTRODUCTION TO
PENETRATION
TESTING WORDPRESS
Tiia Rantanen
Lead Developer
Zeeland Family
1
I
f
!
Go grab some coffee.

2. TIETOMURRON YRITTÄMINEN
ON RIKOS
https://www.finlex.fi/fi/laki/ajantasa/1889/18890039001#L38
Luku 38, rikoslaki
2
2

3. PENETRAATIOTESTAUS
3
- Järjestelmän tietoturvariskien ja hyökkäysvektoreiden löytäminen
- Eettinen hakkerointi (käytännössä kuitenkin tietomurron yrittämistä)
- Automaattista tai manuaalista
- musta-, harmaa- tai lasilaatikko

4. KALI LINUX YLEISESTI
4
- Debianiin pohjautuva Linux distro
- Käytetään forensiikkaan ja penetraatiotestaukseen
- Yli 600 esi-asennettua työkalua
- Voidaan käyttää asentamalla suoraan, live cd:ltä tai usb:ltä tai
virtuaalikoneella (esim. VirtualBox)

5. KALI LINUXIN TOIMINTATAVAT
5
- Etsii (ja hyödyntää) haavoittuvuuksia (esim XSS, injektio)
- Murtaa salasanoja
- Luo haittaohjelmia
- Haistelee ja tunnistaa verkkoja, laitteita ja ohjelmia

6. 6
GRABBER

7. GRABBER
7
- Skannaa web-sovelluksia
- Tarkistaa black box -testauksena löytyykö sivustolta injektiolle haavoittuneita
kyselyitä tai XSS-haavoittuvuuksia.
- Kätevä omaan testaukseen
$ grabber --sql --xss --url http://wp.test

8. OWASP ZAP
8
8

9. OWASP ZAP
9
- Visuaalinen käyttöliittymä
- Löytää XSS:n ja injektion
- Ei hyödynnä haavoittuvuuksia
automaattisesti
Kuvassa XSS-haavoittuvuus.

10. NIKTO
10
10

11. NIKTO
11
$ nikto -h http://wp.test
- Skannaa koko palvelimen
- Haistelee ja voi löytää jotain mielenkiintoista
- Ei hyödynnä haavoittuvuuksia automaattisesti

12. WPSCAN
12
12

13. WPSCAN
13
- Etsii ja listaa tunnettuja olemassa olevia haavoittuvuuksia
- Tunnistaa lisäosia ja niiden versioita
- Murtaa salasanoja
- Voi käyttää ilman Kalia https://wpscan.org/

14. WPSCAN KOMENTOJA
14
$ wpscan --url http://wp.test
- Saa käyttää missä vain
- Tunnistaa:
- lisäosat
- haavoittuvuudet
- headerin tiedot

15. WPSCAN KOMENTOJA
15
$ wpscan --url http://wp.test --enumerate u
- Listaa tunnetut käyttäjät
- Saa käyttää mihin sivustoon tahansa
Voi yrittää estää, mutta silloin kannattaa ottaa apeista myös pois näkyvistä.

16. WPSCAN - DICTIONARY ATTACK
16
Dictionary attack on tietomurron yrittämistä, joten vain omille sivustoille ja
käyttöpalveluntarjoajan luvalla!
$ wpscan --url http://wp.test --wordlist /var/www/html/passwords.txt
--username testi
Parempiakin työkaluja tähän on, esim Hydra.

17. DEMO!
17
17

18. MUITA TYÖKALUJA
18
Tiedusteluun mistä tahansa domainista:
● whois ja host -komennot - domainnimien omistajat ja nimipalvelimet
● crt.sh - sertifikaattien rekisteröinnit ja yleinen haistelu
Varovasti ja vain luvan kanssa (omiin palveluihin ja palvelimiin):
● Mmap / MassCan - porttiskannaus
● Nessus - kaupallinen tuote, ilmainen omaan käyttöön
● WordPressin suoraan murtamiseen
○ WPForce https://github.com/n00py/WPForce Tehokas!

19. E
!
19