早在2012年12月17日,使用PHP的著名博客程序WordPress就暴露出一个严重的漏洞,该漏洞覆盖了WordPress的所有发布版本(包括WordPress 3.8.1)。针对此漏洞的WordPress扫描工具也已在许多论坛和网站上发布。工具可以使用WordPress漏洞扫描或发起DDoS攻击。测试后,该漏洞会影响现有xmlrpc.php文件的所有版本。
最近,我还遇到了WordPress后台(WP登录)的大规模爆炸。它几乎把WordPress变成了黑客手中的僵尸机器。然而,这是另一种WordPress暴力攻击。黑客使用xmlrpc.php文件绕过WordPress后台的登录错误限制。
攻击模式
使用xmlrpc.php的这种攻击可以绕过这些限制。攻击方法是直接将以下数据发布到xmlrpc.php:
- <?xml version=“1.0” encoding=“iso-8859-1”?>
- <methodCall>
- <methodName>wp.getUsersBlogs</methodName>
- <params>
- <param><value>username</value></param>
- <param><value>password</value></param>
- </params>
- </methodCall>
其中username字段是预先收集的用户名。password是尝试的密码。关于getUsersBlogs接口的更多信息可以参考官方的指南。如果密码正确,返回为:
密码错误返回为403:
解决方法:
利用DDoS漏洞利用原则
Pingback是三种类型的反向链接之一。当有人链接或盗用作者的文章时,它是通知作者的一种方式。让作者知道文章是如何被跟踪或链接的。世界上一些最流行的博客系统,如MovableType、serendipity、WordPress和telligentcommunity,都支持Pingback功能,因此当您的文章被转载和发布时,您可以得到通知。WordPress有一个XMLRPC API,可以通过XMLRPC.php文件进行访问,pingback.ping可以使用该文件。其他博客网站向WordPress网站发送pingback。当WordPress处理pingback时,它将尝试解析源URL。如果解析成功,将向源URL发送请求,并检查响应包中是否有指向此WordPress文章的链接。如果你找到这样的链接,你会在这个博客上发表评论,告诉你原来的文章在你自己的博客上。黑客使用WordPress论坛向网站发送带有被攻击目标URL(源URL)的数据包。收到数据包后,WordPress论坛网站通过XMLRPC.php文件调用xmlrpcapi,向目标URL发送身份验证请求。如果发出大量请求,将为目标URL形成HTTP洪水。当然,仅仅向WordPress论坛网站发送大量请求也会导致WordPress网站本身瘫痪。除了DDoS,黑客还可以通过源URL返回不同的错误信息。如果这些主机确实存在于intranet中,则攻击者可以扫描intranet主机。
至于利用xmlrpc.php文件进行DDOS请参考文章:http://www.breaksec.com/?p=6362
