Mostrando las entradas con la etiqueta wordpress. Mostrar todas las entradas
Mostrando las entradas con la etiqueta wordpress. Mostrar todas las entradas

lunes, 3 de febrero de 2014

[Shell] Spam comentarios wordpress

Seguimos hablando de pentest y aquí otra cosa que se ve mucho y que molesta,el spam,el spam son esos comentarios que no dejan nada y que son masivos.

A mi no me ha tocado mucho spam en blogger como dicen que sucede en wordpress,me han llovido anuncios,mentadas de madre,y otras ridiculeces pero bueno,es lo que pasa en la web hay todo tipo de gente hay muchas personas que comentan aportan y hay otras que,que bueno...

Pero bueno lo que sea de cada quien no se que sistema usen pero hace un tiempo pasaron mi capcha y comentaron 40 veces seguidas al mismo tiempo :O,hay que reconocer que saben lo que hacen.

En esta ocasión vamos a aprender a crear un spamer para los  comentarios de wordpress.

Esto no es para que anden spameando ya que es una tontería mas si el webmaster del sitio tiene las ip's(o simplemente wordpress nos manda la ip del comentario),es para que vean como se podría spamear y como defenderse,si quieren spamear haganlo bajo su propio riesgo yo solo les aviso de la hulla de Internet.

Bien vamos a usar Perl para este ejercicio,primero que nada instalamos lo necesario:

Abrimos una shell:
sudo cpan WWW::Mechanize
sudo cpan WWW::Mechanize::GZip
sudo cpan Data::Dumper
Bien ahora debemos por ejemplo:

Ver los imput del sitio en donde queremos "comentar",para esto podriamos usar regex y pipes Unix,pero vamos a hacerlo desde perl:

Aqui un sencillo script que ubica todos los input:

1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
use strict;
use WWW::Mechanize;
use HTML::Form;
use LWP::UserAgent;
use Data::Dumper;

my $url = "http://url";

my $mech = WWW::Mechanize->new(autocheck => 1);

$mech->get( $url ) or die("No es posible conectarse a $url");

my $ua = LWP::UserAgent->new;

my $response = $ua->($url);

my @forms = HTML::Form->parse($response);

foreach (@forms) {
    print Dumper($_);
}

Ejecutamos y vemos todos los input,en wordpress es una tontería esto ya que están a fuego:


Ahora tenemos los fields:

comment
email
author 
url 

Bien vamos a crear un script para un comentario simple:






1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
#!/usr/bin/env perl

use warnings;
use strict;
use WWW::Mechanize::GZip;

my $url = "http://url";

my $mech = WWW::Mechanize::GZip->new();

$mech->agent_alias("Linux Mozilla");

$mech->get($url) || die $!;

my $respuesta = $mech->submit_form(
       fields => {
       comment => "Este es un spam",
       email => 'email@gmail.com',
       author => "unknow",
       url => "direccion.com",
    }
);
print "Listo";
}

Con eso podemos comentar de manera común,ahora que convierte un comentario en spam:

El numero de envíos,así que vamos a enviar mas comentarios con un bucle:

Pero primer problema,wordpress verifica los comentarios en su base de datos,si son iguales redirigue la pagina y ya podríamos comentar.

Solución añadir un contador al comentario,con añadir un numero al principio o al final basta,esto en el mail o en el comentario.

'email@gmail.com'.$i

Otro problema,wordpress checa el tiempo en el que enviamos los mensajes,esto se solucion esperando un tiempo por ejemplo:

sleep 10;

Esperar 10 segundos en cada envió,si somos un poco ingeniosos incluso podemos usar una ip diferente para cada comentario,pero eso se los dejo de tarea.

1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
#!/usr/bin/env perl

use warnings;
use strict;
use WWW::Mechanize::GZip;

my $url = "http://url";

my $mech = WWW::Mechanize::GZip->new();

$mech->agent_alias("Linux Mozilla");

$mech->get($url) || die $!;

for (1..10) {
my $respuesta = $mech->submit_form(
       fields => {
       comment => "Este es un spam".$_,
       email => 'mail'.$_.'@gmail.com',
       author => "unknow".$_,
       url => "direccion.com",
    }
);
print $respuesta->content(); # Nos muestra la respuesta del sitio.
sleep 10;
}

De esa manera podríamos spamear un sitio con comentarios,de igual forma lo podemos hacer en formularios de contacto,pero bueno.



Ahora como defenderse de esto:

1. Wordpress automáticamente no publica estos comentarios,pero de por si ya tenerlos en la bandeja es molesto así que si los publica automáticamente deben cambiar a moderar.

2. Si tienen los registros del servidor se podría hacer un filtrado de ip basado en tiempo esto lo hace wordpress automáticamente,pero no esta de mas usarlo a nivel de servidor,solo que si se usa una ip diferente podría evadirse este sistema.

3. Dejárselo a los profesionales hay filtros contra el spam(si tenemos wordpress en nuestro host),hay plugins para evitar esto,los instalamos y listo.

Pero cuidado ya que aqui esta la trampa:

Metemos un plugin pensando que nos soluciona esto,pero ese es el anzuelo de los spamers,por ejemplo Akismet,en una version(no se si ahora),mostraba nuestro full path disclosure(lo veremos en su momento) que seria un problema mas grande y que se abria logrado gracias al spam.

Bien eso es todo :D.

Un comunicado de este sitio:

Ya no voy a dejar comentar a personas anonimas,solo a las de google y personas registradas,son los que dejan mejores comentarios y si me mientan la madre(como lo han hecho últimamente) por lo menos den la cara y cuerpo,o mejor dicho el nick y el avatar :P.

Es enserio ya tengo bastante con la delincuencia de este país, uno no se siente seguro en la calle como para que en el sitio donde me distraigo un rato también fomenten la violencia,así que si quieren comentar háganlo con su cuenta,también serán moderados los comentarios.

Leer más...
Publicadas por Unknown a la/s 1:48 p.m. 0 comentarios
Relacionado: , , ,

lunes, 6 de agosto de 2012

Como crear un blog con wordpress en el localhost ubuntu 12.04

Esta vez vamos a aprender a crear un blog con wordpress en el localhost de nuestra pc,corriendo con Linux Ubuntu 12.04 LTS,como saben esta pagina(blog) esta funcionado gracias a blogger asi que puede sonar raro que enseñe a realizar esto,pero en fin wordpress es un gran motor para blogging y crear paginas web al igual que blogger,joomla u otras mas.

Usaremos LAMP para esto osea Linux,Apache,MySQL y PHP,esto es muy bueno ya que como saben este blog es sobre Unix y esto hace uso de Linux de Unix de Apache de GNU y de muchas herramientas muy muy buenas como phpmyadmin o la terminal de nuestra distro asi que sirve mucho para divertirnos y aprender un poco sobre bases de datos,PHP,blogging y demas, ya que como saben mucho de este trabajo lo hacen muchos usuarios desde Windows,pero yo recomiendo que se haga desde Linux en alguna de sus distribuciones o otro Unix ya que es mas libre y se aprende mas.

Tutorial

1.Descargamos wordpress en su version mas reciente en

Enlace

2.Preparamos Ubuntu 12.04 con los programas que necesitamos

Entramos en modo root(si no saben como vean este tutorial)

Tutorial

Abrimos terminal (ctrl+t) y escribimos

apt-get install apache2
apt-get install libapache2-mod-auth-mysql php5-mysql

apt-get install php5 libapache2-mod-php5 php5-cli


3.Iniciamos y reiniciamos apache

como root

/etc/init.d/apache2 restart

4.Creamos un archivo de vereficacion

Con nano gedit,vim,kate,VI,ed o con el editor que quieran

(En mi caso vim)>(Les recomiendo gedit o nano)<solo cambien el nombre de vim por nano,gedit,etc en la sintaxis de abajo

sudo vim /var/www/corriendo.php

y adentro del archivo introducen

<?php

phpinfo();

?>

Les tiene que salir algo como esto




En su localhost

http://localhost/corriendo.php

o

http://127.0.1.1/corriendo.php

5.Instalamos MySQL

apt-get install mysql-server

Nos va a pedir una pequeña configuración de seguridad

Ponemos nuesta contraseña que vamos a usar para administrar las bases de datos de MySQL

Verificamos con

mysql -uroot -p

y el pass que colocamos antes

Nos va a salir la Consola de MySQL:

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
mysql> 

Cerramos con ctrl+d y limpiamos con ctrl+l

Eso es todo,ya tenemos wordpress,no no es cierto vamos a medio camino :D

6.Instalamos phpmyadmin

en terminal root

apt-get install phpmyadmin php5

Bien en este paso puede que haya errores al entrar a

http://localhost/phpmyadmin/

ya que debe salir esto:



Si no te sale nada sigue este paso si te sale salta hasta el paso 7

6.1.Abre nautilus como root en esta direccion /usr/share

En terminal root:

nautilus /usr/share

6.2.Busca phpmyadmin>clic derecho>crear enlace

Ahora al enlace clic derecho>cortar

6.3.Cerramos nautilus y ahora lo abrimos en /var/www

nautilus var/www/

Aqui lo pegamos y renombramos al enlace phpmyadmin

Ahora si entra

http://localhost/phpmyadmin/


Listo tenemos listo Ubuntu con LAMP

7.Ahora instalaremos wordpress, pero primero lo copiamos al localhost

El archivo que descargamos en el paso uno es un .tar.gz, un comprimido de BSD,asi que lo descomprimimos como si fuera un .zip

clic derecho>extraer aqui

De ese archivo resulta una carpeta llamada wordpress,le damos clic derecho>copiar y la pegamos en /var/www que es donde se almacenan los documentos del localhost

en terminal root

nautilus /var/www

y clic derecho>pegar

Si somos fanaticos de la terminal sabremos que eso se reduce a un simple comando en terminal que va asi

cd Descargas && tar xzvf wordpress-3.4.1-es_ES.tar.gz && cp -fr wordpress /var/www/ && chmod 777 -R wordpress

Pero no no les recomiendo eso ya que puede que para cuando lean esto el paquete de wordpress sea diferente o se me haya ido una letra de mas o de menos y de errores

El ultimo paso (chmod 777 -R wordpress) lo tenemos que hacer para que no haya errores de acceso ya que al hacer esto como root lo copia como root y le da permisos de root asi que abrimos terminal y escribimos:

chmod 777 -R /var/www/wordpress

si da error prueba

cd /var/www && chmod 777 wordpress

Listo ya tenemos wordpress en nuestro localhost

8.Ahora le vamos a crear su base de datos con phpmyadmid

En tu navegador

http://localhost/phpmyadmin/

Se logean como root y con el pass de MySQL



Este es el home



8.1.En bases de datos le damos crear nueva base de datos




Le ponemos el nombre que queramos o si queremos le ponemos worpress para no confundirnos

Le dan crear

Lista la base de datos!

9.Instalamos wordpress

En otra pestaña del navegador

http://localhost/wordpress/



Llenamos los datos, le damos "Vamos a ello"

(No recuerdo cual configuracion va primero asi que reciben)

Configuracion 1



En titulo del sitio = Le ponen el que quieran

En Nombre de Usuario = Le ponen admin

En contraseña = Ponen una contraseña segura

Le damos siguiente

Configuracion 2



En nombre de base de datos = Ponen la que crearon con phpmyadmin

En nombre de usuario = Ponemos "root" // Ya que es el de MySQL

En contraseña = Tambien ponemos la de MySQL

En host de base de datos = Ponemos localhost

En prefijo de tabla = Ponemos "wp_"

Si al final de la configuración da un error copiamos lo que nos indica y creamos el fichero que nos indica en donde nos indica

 Copiamos el texto y despues

En terminal

sudo nano /var/www/wordpress/wp-config.php

Pegamos el contenido que nos indica y lo guardamos

Con nano

ctrl+shift+v 
ctrl+o
ctrl+x

|


10.Listo



Ahora solo de damos siguiente y listo podremos entrar a administrar el blog



En

http://localhost/wordpress/wp-admin

Y lo podemos ver enlace

http://localhost/wordpress


Este es mi resultado,el suyo debe ser parecido pero al empezar administrarlo le dara su propia personalidad



Eso es todo y de esta forma tendremos nuestro blog o pagina profesional(en nuestro localhost) sin complicarnos usando rails,python,u otro lenguaje de programacion,solo tendremos que diseñarlo a nuestro gusto,lo que si recomiendo es que tengamos algunos conocimientos en html,javascript y php.

Que se diviertan

-->
Leer más...
Publicadas por Unknown a la/s 10:09 p.m. 5 comentarios
Relacionado: , , , , , ,
Suscribirse a: Entradas (Atom)