потенциальная уязвимость в xmlrpc / potential vulnerability in xmlrpc

[Shootem]

(RU)
Привет, мне нужна помощь, после отправки curl-запроса на страницу "https://example.com/xmlrpc.php" я получил этот список
так кто-нибудь знает, какой из них можно как-то использовать без пароля администратора?



(EN)
Hello, I need help, after sending a curl request to the page "https://example.com/xmlrpc.php" I got this list:

Спойлер

<methodResponse>
<params>
<param>
<value>
<array><date>
<value><string>system.multical</string></value>
<value><string>system.listMethods</string></value>
<value><string>system.getCapabilities</string></value>
<value><string>translationproxy.get_languages_list</string></value>
<value><string>wpml.get_languages</string></value>
<value><string>wpml.get_post_trid</string></value>
<value><string>demo.addTwoNumbers</string></value>
<value><string>demo.sayHello</string></value>
<value><string>pingback.extensions.getPingbacks</string></value>
<value><string>pingback.ping</string></value>
<value><string>mt.publishPost</string></value>
<value><string>mt.getTrackbackPings</string></value>
<value><string>mt.supportedTextFilters</string></value>
<value><string>mt.supportedMethods</string></value>
<value><string>mt.setPostCategories</string></value>
<value><string>mt.getPostCategories</string></value>
<value><string>mt.getRecentPostTitles</string></value>
<value><string>mt.getCategoryList</string></value>
<value><string>metaWeblog.getUsersBlogs</string></value>
<value><string>metaWeblog.deletePost</string></value>
<value><string>metaWeblog.newMediaObject</string></value>
<value><string>metaWeblog.getCategories</string></value>
<value><string>metaWeblog.getRecentPosts</string></value>
<value><string>metaWeblog.getPost</string></value>
<value><string>metaWeblog.editPost</string></value>
<value><string>metaWeblog.newPost</string></value>
<value><string>blogger.deletePost</string></value>
<value><string>blogger.editPost</string></value>
<value><string>blogger.newPost</string></value>
<value><string>blogger.getRecentPosts</string></value>
<value><string>blogger.getPost</string></value>
<value><string>blogger.getUserInfo</string></value>
<value><string>blogger.getUsersBlogs</string></value>
<value><string>wp.restoreRevision</string></value>
<value><string>wp.getRevisions</string></value>
<value><string>wp.getPostTypes</string></value>
<value><string>wp.getPostType</string></value>
<value><string>wp.getPostFormats</string></value>
<value><string>wp.getMediaLibrary</string></value>
<value><string>wp.getMediaItem</string></value>
<value><string>wp.getCommentStatusList</string></value>
<value><string>wp.newComment</string></value>
<value><string>wp.editComment</string></value>
<value><string>wp.deleteComment</string></value>
<value><string>wp.getComments</string></value>
<value><string>wp.getComment</string></value>
<value><string>wp.setOptions</string></value>
<value><string>wp.getOptions</string></value>
<value><string>wp.getPageTemplates</string></value>
<value><string>wp.getPageStatusList</string></value>
<value><string>wp.getPostStatusList</string></value>
<value><string>wp.getCommentCount</string></value>
<value><string>wp.deleteFile</string></value>
<value><string>wp.uploadFile</string></value>
<value><string>wp.suggestCategories</string></value>
<value><string>wp.deleteCategory</string></value>
<value><string>wp.newCategory</string></value>
<value><string>wp.getTags</string></value>
<value><string>wp.getCategories</string></value>
<value><string>wp.getAuthors</string></value>
<value><string>wp.getPageList</string></value>
<value><string>wp.editPage</string></value>
<value><string>wp.deletePage</string></value>
<value><string>wp.newPage</string></value>
<value><string>wp.getPages</string></value>
<value><string>wp.getPage</string></value>
<value><string>wp.editProfile</string></value>
<value><string>wp.getProfile</string></value>
<value><string>wp.getUsers</string></value>
<value><string>wp.getUser</string></value>
<value><string>wp.getTaxonomies</string></value>
<value><string>wp.getTaxonomy</string></value>
<value><string>wp.getTerms</string></value>
<value><string>wp.getTerm</string></value>
<value><string>wp.deleteTerm</string></value>
<value><string>wp.editTerm</string></value>
<value><string>wp.newTerm</string></value>
<value><string>wp.getPosts</string></value>
<value><string>wp.getPost</string></value>
<value><string>wp.deletePost</string></value>
<value><string>wp.editPost</string></value>
<value><string>wp.newPost</string></value>
<value><string>wp.getUsersBlogs</string></value>
</data></array>
</value>
</param>
</params>
</methodResponse>

after sending something like this
<?xml version="1.0" encoding="UTF-8"?>
<method call>
<methodName>wp.getUsersBlogs</methodName>
<options>
<parameter>
<value>
administrator
</value>
</param>
<parameter>
<value>
pass
</value>
</param>
</options>
</method call>"
it sends successfully, however below it is "faultCode</name>
<value><int>403</int>"

so does anyone know which one can somehow be used without an admin password?

 

[Raskolnikov]

Ну это не узявимость, а просто api интерфейс

XML-RPC WordPress API « WordPress Codex

Blog Tool and Publishing Platform

codex.wordpress.org

 

[SaintLabel]

(RU)
Привет, мне нужна помощь, после отправки curl-запроса на страницу "https://example.com/xmlrpc.php" я получил этот список
так кто-нибудь знает, какой из них можно как-то использовать без пароля администратора?



(EN)
Hello, I need help, after sending a curl request to the page "https://example.com/xmlrpc.php" I got this list:

Спойлер

<methodResponse>
<params>
<param>
<value>
<array><date>
<value><string>system.multical</string></value>
<value><string>system.listMethods</string></value>
<value><string>system.getCapabilities</string></value>
<value><string>translationproxy.get_languages_list</string></value>
<value><string>wpml.get_languages</string></value>
<value><string>wpml.get_post_trid</string></value>
<value><string>demo.addTwoNumbers</string></value>
<value><string>demo.sayHello</string></value>
<value><string>pingback.extensions.getPingbacks</string></value>
<value><string>pingback.ping</string></value>
<value><string>mt.publishPost</string></value>
<value><string>mt.getTrackbackPings</string></value>
<value><string>mt.supportedTextFilters</string></value>
<value><string>mt.supportedMethods</string></value>
<value><string>mt.setPostCategories</string></value>
<value><string>mt.getPostCategories</string></value>
<value><string>mt.getRecentPostTitles</string></value>
<value><string>mt.getCategoryList</string></value>
<value><string>metaWeblog.getUsersBlogs</string></value>
<value><string>metaWeblog.deletePost</string></value>
<value><string>metaWeblog.newMediaObject</string></value>
<value><string>metaWeblog.getCategories</string></value>
<value><string>metaWeblog.getRecentPosts</string></value>
<value><string>metaWeblog.getPost</string></value>
<value><string>metaWeblog.editPost</string></value>
<value><string>metaWeblog.newPost</string></value>
<value><string>blogger.deletePost</string></value>
<value><string>blogger.editPost</string></value>
<value><string>blogger.newPost</string></value>
<value><string>blogger.getRecentPosts</string></value>
<value><string>blogger.getPost</string></value>
<value><string>blogger.getUserInfo</string></value>
<value><string>blogger.getUsersBlogs</string></value>
<value><string>wp.restoreRevision</string></value>
<value><string>wp.getRevisions</string></value>
<value><string>wp.getPostTypes</string></value>
<value><string>wp.getPostType</string></value>
<value><string>wp.getPostFormats</string></value>
<value><string>wp.getMediaLibrary</string></value>
<value><string>wp.getMediaItem</string></value>
<value><string>wp.getCommentStatusList</string></value>
<value><string>wp.newComment</string></value>
<value><string>wp.editComment</string></value>
<value><string>wp.deleteComment</string></value>
<value><string>wp.getComments</string></value>
<value><string>wp.getComment</string></value>
<value><string>wp.setOptions</string></value>
<value><string>wp.getOptions</string></value>
<value><string>wp.getPageTemplates</string></value>
<value><string>wp.getPageStatusList</string></value>
<value><string>wp.getPostStatusList</string></value>
<value><string>wp.getCommentCount</string></value>
<value><string>wp.deleteFile</string></value>
<value><string>wp.uploadFile</string></value>
<value><string>wp.suggestCategories</string></value>
<value><string>wp.deleteCategory</string></value>
<value><string>wp.newCategory</string></value>
<value><string>wp.getTags</string></value>
<value><string>wp.getCategories</string></value>
<value><string>wp.getAuthors</string></value>
<value><string>wp.getPageList</string></value>
<value><string>wp.editPage</string></value>
<value><string>wp.deletePage</string></value>
<value><string>wp.newPage</string></value>
<value><string>wp.getPages</string></value>
<value><string>wp.getPage</string></value>
<value><string>wp.editProfile</string></value>
<value><string>wp.getProfile</string></value>
<value><string>wp.getUsers</string></value>
<value><string>wp.getUser</string></value>
<value><string>wp.getTaxonomies</string></value>
<value><string>wp.getTaxonomy</string></value>
<value><string>wp.getTerms</string></value>
<value><string>wp.getTerm</string></value>
<value><string>wp.deleteTerm</string></value>
<value><string>wp.editTerm</string></value>
<value><string>wp.newTerm</string></value>
<value><string>wp.getPosts</string></value>
<value><string>wp.getPost</string></value>
<value><string>wp.deletePost</string></value>
<value><string>wp.editPost</string></value>
<value><string>wp.newPost</string></value>
<value><string>wp.getUsersBlogs</string></value>
</data></array>
</value>
</param>
</params>
</methodResponse>

after sending something like this
<?xml version="1.0" encoding="UTF-8"?>
<method call>
<methodName>wp.getUsersBlogs</methodName>
<options>
<parameter>
<value>
administrator
</value>
</param>
<parameter>
<value>
pass
</value>
</param>
</options>
</method call>"
it sends successfully, however below it is "faultCode</name>
<value><int>403</int>"

so does anyone know which one can somehow be used without an admin password?

единственное использование, которое я видел, это возможность пинговать с этого сайта. Так собирают пару сотен тысяч сайтов и проводят ДДОС атаку

 

[Shootem]

Разве SSRF-атака не возможна? А если я могу отправить xml структуру и сервер ее принимает с кодом 200 то я не могу загрузить бэкдор например написанный на php? (это мои мысли)

 

[xanthopsia]

Читай про xmlrpc brute force.

 

[Raskolnikov]

Разве SSRF-атака не возможна? А если я могу отправить xml структуру и сервер ее принимает с кодом 200 то я не могу загрузить бэкдор например написанный на php? (это мои мысли)

Поподробнее?

 

[Shootem]

Поподробнее?

Ну а по поводу SSRF-атаки мне кажется, что она возможна, но мне такая атака совершенно не нужна, а что касается бэкдора. Так как есть возможность отправлять xml данные, и сервер отвечает кодом 200, а я блокирую кодом 403 (нет авторизации), то это означает, что по идее код вредоносного бэкдора, представленный в структуре XML, но написанный на php, само действие, мне кажется, оно должно принять этот код? То же самое с перевернутой оболочкой (это только мои мысли, еще не проверял) (Да, я знаю, что это дерьмовый перевод, но это вина переводчика Google)

 

[Script_186]

Ну это не узявимость, а просто api интерфейс

XML-RPC WordPress API « WordPress Codex

Blog Tool and Publishing Platform

codex.wordpress.org

API имеет уязвимости, например BOLA, BFLS, mass assignment, BUA и т. д. это некоторые из типов уязвимостей API, а с помощью уязвимостей API можно предоставлять конфиденциальные данные веб-шеллу.

 

[Script_186]

XML-RPC is a remote procedure call (RPC) protocol which uses XML to encode its calls and HTTP as a transport mechanism. “XML-RPC” also refers generically to the use of XML for remote procedure call, independently of the specific protocol.Basically its a file which can be used for pulling POST data from a website through Remote Procedure Call.

in wordpress its a API which allows developers for doing manipulations in the wordpress site for eg:

Publish a post, Edit a post , Delete a post and even possible to upload some files.

вы можете автоматизировать DDoS-атаки, вы, как правило, столкнетесь с ошибкой 403, что означает, что ресурс существует, но у вас нет разрешения

вы можете читать эти статьи вместо того, чтобы писать "брут xmlrpc, массовая ddos-атака, XSPA-атака" подробно
1 )https://shahjerry33.medium.com/cross-site-port-attack-a-strangers-call-c2467f93792f
2) https://the-bilal-rizwan.medium.com...lnerabilites-how-to-exploit-them-d8d3c8600b32

и уязвимость xmlrpc очень распространена, за короткое время можно найти множество сайтов с подобной уязвимостью