Full Path Disclosure en mayoria de blog WordPress

Iniciado por Castg!, 10 Febrero 2010, 04:37 AM

0 Miembros y 2 Visitantes están viendo este tema.

Castg!

bueno, navegando por un blog (el cual me llamo novato ¬¬ por un tema de indexes de apache en mi web), estaba viendo una imagen cuando se me dio por borrar el directorio y dejarlo en: http://blog.cl/wp-includes/ y le di enter, me di cuenta que me daba un full file disclosure, pero son de archivos por defecto de wordpress.
Preo cuando hago click en uno,"/class.wp-scripts.php", me tira un error tipo:

CitarFatal error: Class 'WP_Dependencies' not found in /home/ ¬¬ /public_html/wp-includes/class.wp-scripts.php  on line 19

el dueño de este "blog", (novato tambien de todas formas) me dice, "publicalo en el foro" y le digo "see". entonces antes que nada me fijo en otro wordpress y vo que tambien sucedia lo mismo. eso queire decir que este directorio de wordpress no tiene ningun tipo de index, el servidor (como todo apache por defecto) tiene activado los autoindexes, y el webmaster (novato¬¬) no se le dio por mirar sus directorios. al ver esto se me ocurre antes que nada como cualquier vulnerabilidad (aunque chota sea) que posteo en el foro, avisar al webmaster o al creador en este caso, porq esto es algo generico... comono encontre nignun formulario en wordpress ni tampoco ningun link o mail de contacto (que me dio un poco de bornca!) decido a informarles esto a ustedes asi porq si.

muy simple. tienen un blog que se llame powened.com/blog/, entonces le agregan un /wp-includes y ya tienen el autoindex de apache, abren algun archivo ya que muchos causan un error y tienen un full path disclosure.

no es la gran cosa, no siempre funciona, pero se los quise contar. un saludo grande ! ;)

tragantras

jajaja qué bueno :]

mira Castg lo que obtuve haciendo pruebas en un random wordpress blog xD

http://wordpress.deseoaprender.com/wp-includes/

metete y miralo jaja
Colaboraciones:
1 2



jdc

Castg aún guardo otro bug en tu acortador de direcciones, como novato, no voy a agregar sólo 136 registros a tu db está vez :) van a ser un poquito mas xD

Respecto a lo de wordpress es mas grave de lo que crees Castg. Aunque agregues un index no se solucionará el problema, ya que los archivos siguen dando el path de la web en en error, como te expliqué la mayoría de las veces desde ahí sacas el nombre de usuario de el cpanel xD

Habrá que darse la paja de ponerle a todo error_reporting(0);

Castg!

hoy caminando por la calle estaba pensando justamente en eso, abria que hacer un error_reporting como vos decis a todos los archivos. no me gustan los emoticones xD!  :xD

jdc

Mira tu... Se está haciendo costumbre que pienses lo mismo que yo justo después de mi :xD

No veo los emoticones desde mi cel

Castg!

?? huelo celos de que un chico 12 años menor que vos peinse igual o mejor que vos? porfavor, me venis a llamar novato por los indexes de apache y vos tenes el mismo error. ademas, un flood con iframe. vamos alejandro, ya esta, dejate de joder, no podes tolerar de que tu pagina tambien tiene indexes xD!? jajajaj. si te enojaste por un "idiota" seguido de un "jajajajja" disculpame, pero porfavor, comportate que vos sos el mayor :S

Castg!

al final me pude comunicar con los de wordpress, este fue el mensaje:
Citarhola que tal, estaba navegando por el blog de un amigomio el caul instalo wordpress en su web, y empece a ver el codigofuente para darme cuenta que si me direccionaba a: http://blog.com.ar/wp-includes/ apache creaba un autoindex con el nombre de archivos y directorios en ese directorio. eso lla me llamo la atencion, pero lo otro fue que cuando aprete en uno de sus archivos, "class.wp-scripts.php" me daba un "Fatal error" de php mostrandome la direccion completa del servidor o mejor dicho el full path disclosure. es simple para arreglar, con un error_reporting se solucionaria. quisiera si pueden responderme para saber si leyeron esto. un saludo grande desde argentina ;).
Tomas.

ahora a esperar la respuesta :p