olay da step yani merdiven sıralaması var hocam dikkat ettiyseniz.exploite bakarsanız sonraki step de 404..
404.php ye buradan index atmaya çalışıyor exploit..Yani
Burada eklenen kod sisteminde 3.adımda 404.php diyorsunuz ya orada kullandığınız sunucunun php bilgilerini alıyor..Bir çeşit temanıza normal bilgi ekliyorsunuz gibi düşünün..Exploit oraya php info kodu ekletiyor sadece.Orada bir açık olduğu söz konusu değil..
Maksadı şu olsa gerek herhangi bir konu eklenmediğinden direk olarak siteadi.com/sadadadada gibisinden birşey girdiğinde direk 404.php çıkacağından php bilgilerini almak..
Php bilgilerini aldıktan sonra comment veritabanını güncelleyip XSS işlemini sonlandırıyor :)
---
Bu işlem için 1. ve 2. seviyeleri geçmesi gerekiyor..Bunları geçmesi içinde ilk yazımda bahsettiğim konudaki linke bakarsan orada da açıklama yapılmıştı bir önceki mesajımda da söyledim..
Eğer wordpress i sunucuya atıp kurmadıysanız ve karşınızda "Wordpress bağlantı kurulamadı" hatası çıkarsa o zaman çalışır bu exploit..
Buda nedir boş bırakılan,kullanılmayan wordpress sitelerine index atmak içindir..O da bir çok sub domainlerimizde attığımız ama sonradan vazgeçtiğimiz wordpressleri hacklemeye yarar :) Zone kayıtlarındaki sitelere bakarsan genelde aktif olmayan,terkedilmiş wordpress bloglarıdır..
Exploit açıklamasını okursan anlarsın belki;
The WordPress 'setup-config.php' installation page allows users to install
WordPress in local or remote MySQL databases. This typically requires a user
to have valid MySQL credentials to complete. However, a malicious user can
host their own MySQL database server and can successfully complete the
WordPress installation without having valid credentials on the target system.
After the successful installation of WordPress, a malicious user can inject
malicious PHP code via the WordPress Themes editor. In addition, with control
of the database store, malicious Javascript can be injected into the content
of WordPress yielding persistent Cross Site Scripting.
404.php ye buradan index atmaya çalışıyor exploit..Yani
Burada eklenen kod sisteminde 3.adımda 404.php diyorsunuz ya orada kullandığınız sunucunun php bilgilerini alıyor..Bir çeşit temanıza normal bilgi ekliyorsunuz gibi düşünün..Exploit oraya php info kodu ekletiyor sadece.Orada bir açık olduğu söz konusu değil..
Maksadı şu olsa gerek herhangi bir konu eklenmediğinden direk olarak siteadi.com/sadadadada gibisinden birşey girdiğinde direk 404.php çıkacağından php bilgilerini almak..
Php bilgilerini aldıktan sonra comment veritabanını güncelleyip XSS işlemini sonlandırıyor :)
---
Bu işlem için 1. ve 2. seviyeleri geçmesi gerekiyor..Bunları geçmesi içinde ilk yazımda bahsettiğim konudaki linke bakarsan orada da açıklama yapılmıştı bir önceki mesajımda da söyledim..
Eğer wordpress i sunucuya atıp kurmadıysanız ve karşınızda "Wordpress bağlantı kurulamadı" hatası çıkarsa o zaman çalışır bu exploit..
Buda nedir boş bırakılan,kullanılmayan wordpress sitelerine index atmak içindir..O da bir çok sub domainlerimizde attığımız ama sonradan vazgeçtiğimiz wordpressleri hacklemeye yarar :) Zone kayıtlarındaki sitelere bakarsan genelde aktif olmayan,terkedilmiş wordpress bloglarıdır..
Exploit açıklamasını okursan anlarsın belki;
The WordPress 'setup-config.php' installation page allows users to install
WordPress in local or remote MySQL databases. This typically requires a user
to have valid MySQL credentials to complete. However, a malicious user can
host their own MySQL database server and can successfully complete the
WordPress installation without having valid credentials on the target system.
After the successful installation of WordPress, a malicious user can inject
malicious PHP code via the WordPress Themes editor. In addition, with control
of the database store, malicious Javascript can be injected into the content
of WordPress yielding persistent Cross Site Scripting.
Madem öyle çok iyi bana şunu açıklayın nasıl oluyorda 3.3.1 çıktıktan sonra yeni sürüm siteler hacklink yiyor ve bir sürü kod ekleniyor içlerine söyleyin ?
Hepsi rastlantı mı ?
Ayrıca bana verilen öneriyi şimdi göz önüne aldım da haklılar galiba bu konuya daha fazla cevap yazmam gereksiz isteyen istediğini yapsın sonuçta bir insan bir olayı yaşamadan ders çıkaramaz...