 Hola, buenas. Muchas gracias por estar aquí. Tengo el honor de presentaros a Jaime Esquibias. Ele é, se me lo permitís, jaquerético de los buenos. E, además, é formador en cursos e bootcamp sobre Osint. E, muy conocido en la comunidad Osint, además exponente en conferencias como sintomático. E, bien a hablarnos hoy sobre Osint en WordPress. E, de mucho cariño e un aplauso muy fuerte para él. Me oís? Sí, no? Vale. Muchas gracias por a presentación, la verdad. E, yo me iba a presentar, pero vista dicha presentación. No sé, ya que decir. Lo ponen poco aí, vale? E como ha comentado, soy jaquerético, pentester, retimer, como queráis llamarlo. Soy profesor de alguna academia por aí, vale? Ciberhunter o KSchool. Me encanta mucho o Osint e é de lo que vamos a hablar, porque é o Osint, o WordPresent, para o que no haja pillado a broma. E, soy cofundador de sintambeers, Linux Fanboy, me encantan mucho Linux, e queréis hablar de Linux, estaré logo por aí tomando mecañas. E, bueno, colaborador de Linux Project, que é un proyecto para buscar personas desaparecidas aquí en España, vale? Bueno, moi addicto ao mundo Linux, mundo ciber en general, e moi gusta mucho o AdarWeb. Então, se alguien quine comentar-me algo d'eso, também estou moi, moi, moi a favor de ello. E, bueno, vamos a empezar. Jon, quero aclarar algo antes, non soy experto en Wordpress, ni mucho menos, eu o conozco máis bien por mi trabajo, porque me toca hacerlo, pero voy a hacer una breve presentación, se digo algo que non estis de acuerdo, por favor corregirme sin ningún tipo de problema. E, lo primero que é Wordpress, é un CMS, un content management system, vale? E que sirve para que prácticamente cualquiera, sin excesivo conocimiento, pueda crear-se una página web. Non necesitas programar en HTML, por exemplo, o conocer o que é un CSS, simplemente, pues, unha serie de herramientas te podes crear una página web. Eso, a rasgos muy generales é o que é un CMS, vale? Aqui habrá gente muchísimo máis experta, así que, por favor, disculparme por hacer esta brevísima introducción que entiendo que no todo o mundo tiene. CMS, aí tantos, pues, como queráis, vale? Estuve buscando antes de hacer esta presentación e aí infinidade CMS. Tantos como estereas en el cielo, igual en un día nublado, pero aí muchísimo, es de verdad. Por que Wordpress? Por ésto mesmo. Porque la tasa de mercado de Wordpress é altísima, é máis de un 50%, vale? Si non me equivoco, llega un 65, casi, 64,9. Éste é de este año, vale? O del año pasado de 2022. Então, Wordpress está prácticamente en todas as páginas web. O resto de CMSs non se utilizan tanto. Que pasa, que é mucho máis probable, a mí, como hackerético, que me encuentre una página en Wordpress, a que me la encuentre en Jumbla o en cualquier outro, vale? En SoPiFi. Então, para nós, é mucho máis atractivo aprender esa tecnologia que cualquier outro. Al final, pues, por estadística. Dice que eu, de aquí, nació Wordpress Int. Esta idea no é mía, vale? Está me la presentou un moi bon amigo mío, que luego hablaré un pouco dele, que aí ele encanta, me comentaba, o Wordpress, por la cantidad de información que dá. E eu le pregunte, pero, a que te refieres con o CMS? E pues que Wordpress, quando eu investigo as páginas, me dá un montón de información acerca de quién le ha creado, o quão se ha creado, como se ha creado, versiónes, etc., etc., etc., que luego veremos. E eu le dije, astia, eso está genial, porque, además, eu pudo automatizar esa recopilación de información de manera que no te vas que hacerlo tú manual. E, de aquí, nació Wordpress Int. Ele me propuso la idea e eu le automatice. Vale, é isto é Wordpress Int. É o Wordpress Int. É a parte do backend. Eu vou tentar... Eu estou llovando rápido, porque eu quero tentar hacer-vos un pouco e ver se me dá tempo. E, bueno, que sepais, que Wordpress Int. tem duas partes. Uma é o backend, que está programada por mim, e outra é o frontend, que o veréis, que está programada por um grande colega mío, que se chama Pingulino, que é o Unique. É un brasileño, está o outro, que agora está dormiendo, pero, bueno, nós mandamos um saludo para allá, onde este. E, bueno, Wordpress Int. é un pouco é isso. É uma série de módulos que nos permiten recopilar cierta información de páginas Wordpress, vale? Só funcionan Wordpress. Se no intentase no outro tipo de páginas Web, obviamente, no va a recopilar nada, vale? Então, tené varios módulos, eu intento oponer-los todos aí. Então, por exemplo, o users nos intenta sacar todos os autores que han escrito dentro da página Web. É isso porque é interesante, porque, se eu saco o nome do usuario de Wordpress, pudo, logo, intentar, mediante esse nome do usuario, pí votar a outros redes sociales, porque a gente sol usar seu mesmo nome do usuario. Pou intentar realizar ataques de fuerza bruta contra o login de la página Web, conociendo esse nome do usuario. É o típico que te metes en el login de Wordpress e dices, usuario admin, contraseña admin, e te dice, esa contraseña non é válida para ese usuario, vale? Já tengo un usuario válido, então, agora só me falta averiguar a contraseña. Coisa é desse estilo. O Xmlrpc, o fit, intenta sacar o usuario espero de las publicaciones de el propio Wordpress, porque tienes dos tipos do usuario, lo descubrí, jugoteando con este tipo de cosas, los que están propios de la página Web e los que hacen publicaciones, e isso também te pode sacar información. O Xmlrpc, cuantos de aquí conoceis o que é o Xmlrpc? Pouquitos. Me extraña porque todos usáis Wordpress e eu pensei que era algo moi conocido. En el mundo ciber é moi conocido porque é un fitxero que, se está público, te permite realizar ciertos ataques contra páginas Web Wordpress. Pero é os ataques son muy, muy graves porque me permitiría lançar ataques internamente desde o servidor. Me permite, aunque vosotros tengáis capado o login de la página Web, me permite lançar ataques de numeración dos usuarios, aunque no desde o login, sino desde o propio fitxero, me permite usarlo como proxy. É decir, eu podrei usar o servidor como proxy para atacar outras páginas Web e então, se eu cojo e ataco mediante vuestra página Web, outras páginas Web, que vén creís que vén irá buscar. A mí, desde luego, no, ao doño de la página Web. É un fitxero bastante peligroso e me encontro que está moi expuesto e a gente não o suele quitar e, a má, ni xiquera é conocido. Outro dos fitxeros que se ve aí é o Chrome. Cuántos de aquí conocéis o que é o Chrome? Vale, mucho, mejor. Se digo algo incorrecto, por favor, luego corregirme, pero eu tenho entendido que o Chrome é um fitxero que realiza base de datos pesada, que llamamos nosotros. Vale, que consiste a isso, que realiza una consulta base de datos que tarda un tiempo en realizarse e consume recursos. É un problema, en principio non é un problema se se realiza una consulta. Que pasa se eu le lanzo cien consultas concurrentes o mil, o dos mil o diez mil. Eso é muy fácil hacerlo con as herramientas de hacking hoy en día. E, e, e, e, e, login interface. É, é un pequeno modulito que o intenta de sacar a interfaz de login se la tenéis expuesta o no. Por que é grave tener una interfaz de login expuesta? Por que os exponéis a outro tipo de ataques enumeración de usuarios, como eu he dicho, e ataques de fuerza bruta? Então, suele ser o normal de eso, intentar poner un captcha o algo que retrasse esse tipo de ataques o capar directamente o acceso e solo acceder desde unas URLs determinadas ou des unas IPs determinadas. Pero, aí eu he puesto un ejemplo, vale, o show login é da própria página de pingulino, me ha dado permiso. Eu me lavo las manos, pero é só os logins que se encuentran. Realmente, aí veis 4 URLs, no son tantas, sino que todas essas URLs hacen redirección ao login de la página, vale? Por eso se ven 4, porque se tú pones qualquiera dessas URLs no buscador, no, no navegador, te va a redirigir ao login de la página, vale? Pero realmente no son os 4. Vale, e aqui tenemos outros modulitos, o de Fedusers, o que os he comentado, vale, é un pequeno ejemplo com a própria página de WordPress, que por cierto tienes puesta o Xmlrpc, WordPress, algo que querais comentar. O Fedusers é o que os comentaba, aí un fecherito que se llama barra feed, vale? Luego vou intentar ver se enlapoco o pudo mostrar. E se vosotros ponéis eso, descarga un fichero con todo o feed que é de la página e quem ha hecho esa publicación, que é o que a mí me interesa, vale? Se poden sacar mucha información, pero a mí me interesaba a versión de WordPress para ver se está actualizado, no? E e os usuarios, es decir, quem ha hecho dicha publicación, porque noventa va con o nombre e apellido ou Nick. Então é o que hace o Fedusers, vale? E o GetCrowl é un intento de Crowley da página para sacar correos, e emails e, perdón, emails del dominio, emails que non estén dentro del dominio, porque se eu estou, por exemplo, con a página de WordPress.org e a mí me sale un email que non é WordPress.org e é Gmail, é un email, pero non é da própria página. Então é a mí me está dando información de que hay gente registrada aí ou están utilizando emails de outros páginas web a los cuales eu podrei intentar pivotar ou tener emails personales. O que é o ámbito chamado Sint. Que não o explico que é OpenSubscript. Vale? Se luego tenes dúdas, repito, é que estou indo muy rápido, pero luego eu comento todo esto. E sacar cifs. Por que os cifs são importantes? E esta é uma parte que me comento, meu colega. Os cifs são importantes aqui na España. Por que? Por legalidade tienes que ponerlo. Se unha página web os encontráis que não tiene um cif, é ilegal, en principio, e se poderia hasta denunciar. Porque tiene que ir ligado a si é de una empresa, tiene que ir ligado a esa empresa. E, bueno, aqui é como veis, aí en el outro é que não se ve muy bien, pero estí comprobando os ficheros de Chrome, de XLM-RPC, a versión de WordPress. A versión de WordPress não os fídeis, porque eu compro contra que a API de WordPress te permite comprobar as versiones, pero não te saca exactamente a última, porque a última é a versión beta. E por exemplo, WordPress.org usa a versión beta e por isso pone que está desactualizada. É mentira. Realmente, WordPress está utilizando a última versión, que é a beta. Pero, bueno, nós comprobamos con a última estable. E o fichero proxy, é unha coisa muy curiosa. Alguém sabe, entendo que a maioria sabe o que é um proxy? Sim? Vale. Sabéis que WordPress te permite usar a sua própria página como proxy? Quanto está aquí e sabe eso? Vale. Pues, aí un fichero, también, muy maravilloso. Bueno, un fichero, unha URL realmente, que es la de WP Jason, es que no se ve mucho, vale, pero la voy a deletrar, que es WP Gion Jason, barra OMD, barra 1.0, barra proxy, interrogación, URL, vale, e aí pones a URL que tú quieras acceder. Vale, eso o que está haciendo é utilizar o que é interesante desde el lado de vista de un atacante, porque significa que tú servidor me está haciendo una petición a mí servidor e puedo obtener información interna de vuestro servidor. E que información interna tienes IPs, tienes outros dominios dentro, etcétera, aí un montón de cosas que se poden hacer, vale, e eso é o outro ataque que se sula hacer. Ese é mais difícil encontrar solo abierto, vale, generalmente, ao menos eu, o que he visto, por defecto, viene cerrado, pero aí veces agora cruzar los dedos, rezar o que sepáis porque eu vou intentar que esto funcione no front-end, vale, esta está montada na página web que os vou a pasar a URL para que luego por si queréis probar e vou a ver se sou capaz de sacar un Chrome aquí vale, e acceder a la URL. Estou fazendo leak de información. Se não me he equivocado vale. Perfeito. A ver se o pôo poner em pantalla completa. Vale. Vale. Os presento Word Present. Esta é a herramienta, vale. É pública, qualquiera pode acceder e hacer las pruebas contra a sua própria página web ou outras páginas web. Eu aí ya não me meto. Lo único que por legalidade estamos obligados a poner é un captcha para evitar que a gente haga abuso de ello, vale. E vou intentar hacer una prueba contra Word 3.org. E a ver se os pôo mostrar. Perfeito. Ha funcionado. Não has tenido todas conmigo, vale. Vale. Que os saca. Pois, os mismos módulos que hemos visto antes só o que he presentado de una manera preciosa. A la verdad é que chapó por pingulino porque se ha ocurrado todo esto, o front end e queda maravilloso. Não se ve mucho pero bueno, os lo digo. La interfaz de login se estás puesta o non estás puesta e en este caso estás puesta, este login.wordpress.org. Usuarios. Este te estás sacando o nome, o nick que se ve aquí abajo muy pequeñito e a foto. E te la está poniendo a, se tienes foto, te la sacas. Sinó obviamente como este de aquí abajo. Bueno, este de aquí abajo sí creo que es a foto de Wordpress. Los que non tienen fotos ahora el típico simbolito de imagen que está vacía. Vale. Fit users. Este é o que os comentaba. Este é o ficherito fit. Vale, que logo agora sí queréis me meto outra vez na URL para que veáis e os estás sacando os usuarios del fit. Vale. Estos son todos os usuarios que se han encontrado no fit. Este é o logo fichero fit. É un fichero xml. Vale. E o que se hace de este fichero é esparcearlo. Me dante una serie de regex trae dos usuarios que, sinó me equivoco, era dc2.creator algo así e despues se va ao usuario pues se hace un regex e se obtiene. El cif. Vale. Los cif de la página. Emails. Aquí hay dos. É o que está no domínio e non hay emails fuera de domínio. Esto se hace crauleando accediendo a ciertas URLs e intentando parcelar o contenido. Opteniendo todo o fichero xml e de ahí intenta encontrar todo o que sean correos. Vale. Voy a ver se agora os pudo poner outro exemplo onde se ve que salen emails pero no todos son emails porque hay trampa porque intento obtener o que haya con no sé que arroba no sé que me da igual a gente pone cosa random como arroba 1.2.3 e sale como email. Eu aí pouco pudo hacía. Vale. E esto que saen rojo por que? Porque o xml rpc está habilitado o cron está habilitado o proxy no e a versión que os digo que está desactualizada isto é porque WordPress utiliza a versión beta que está por encima de en teoría a última versión estable então nós compramos contra a última versión estable. E logo aqui arriba por se alguien o necesita un maravilloso export que isto te exporta en un fichelito por si no necesitas un reporte para logo analizarlo x lo que querais. Vale. Voy a ver se pudo e funcione o capsa al final va contra mi vamos a ver se funcione Vale. Isto é o que os digo esta gente no tiene puesta imagenes pero tambien te saca os usuarios aunque no tienen ninguno foto de perfil usuarios e veis aqui isto é o que os comentaba Estos son correos propios veis que todos tenen a roba culture.com e estos son correos que en principio este sí é un correo pero este é a roba 2x.png Ese é un imagen Pero claro como é algo a roba algo mi reyes no está moi bien hecha non soy experto en reyes pues sale como mala Vale. Que mas e bueno lo mismo que antes Vale. Voy a quitar esto E Vale. Isto é o que os comentaba solo para que o veais e por si non o conocéis se vosotros vais a esta url isto é o fichero fit que os comentaba Vale. Este fichero como podeis ver por aqui tiene a versión que en este caso é a alfa veis? Ni se que é o beta e a alfa e logo aqui tenéis os dici creator que os comentaba Vale. e volvemos a ver se soy capaz de ponerlo Vale. Bueno isto era por si non me funcionaba pero já lo explicado asi que bueno genial é o mesmo que hemos visto antes Vale. Tenéis aí a url tenéis os usuarios os fit users os cif os e-mails etc Vale. E isto é o mesmo para a página de WordPress e he ido muy muy rápido igual demasiado pero não sei se me ia a dar tempo os sinto muito O outro companheiro que os comentaba é Jethers Ferreira Vale. É un crack en lo suyo É o genio detrás de WordPress int É o que me incitó a esto É un crack en os int Vale específicamente Cibre Intrigencia Pingulino que é o outro gran desarrollador detrás de esta ideia e eu Vale. E pouco más muchísimas gracias a todos Nada, muchísimas gracias Jaime Não sei se alguien quer hacer alguna pregunta Tenéis preguntas? Vale. Bueno, no, la buena Jaime la verdad que é unha pasada e además é un tema súper interesante o tema dosin eu te queria preguntar é verdade que has dicho que no has tocado mucho WordPress pero de lo que has tocado WordPress e nós nos tuviéramos que defender para ocultar de alguma manera toda esa información que entiendo que aí pues non se eu soy el entre comidas atacado non me gustaría ensenhar tienes ya has hecho algo más como para que podamos dizer pues mira eu utilizaría esto esta historia eu te gustaría esto para o outro se nos podes contar um pouco más porque la verdad é que é muito interesante Sim eu te digo eu não le tocado tanto pero tengo ciertas ideias porque o Jethar que comentado sua página web de seus cursos está achando WordPress e é con o que ha hecho a maioria de pruebas e ele ha ido quitando todos e cada uma das coisas que veis aí vale? É sua página web e agora se la tiras con minha herramienta não te saca absolutamente nada então o que podes fazer é cortar o acesso por exemplo o panel de login o panel de login ele o temo puesto de maneira que só o primeiro temo um fail to ban isso pode chegar a ser peligroso porque te podes quedar tú sin acceso durante x tempo e logo se não me equivoco temo un acceso restringido dependiendo de por IP o por URL isso ya não lo sei vale? ele tendria que preguntar também hay ciertos plugins se não estou equivocado em WordPress que te evitan esse tipo de cosas vale? agora não recuerdo exatamente quales pero sé que os hai para o tema da enumeración dos usuarios é que se não me equivoco é que não tenho agora o código fonte não é o meu ordena mas basicamente o que se comprueba com todo o que habes visto são ciertas URLs se hace una petición se saca o contenido e logo se parcea se recupila vale? então por exemplo para o tema dos usuarios se não me equivoco é barra v2 barra ou vwp guion jason barra v2 barra user pode escapar o acceso a esas URLs ao igual que podes escapar o acceso o rpc vale? tu directamente cortas ese acceso te pones que no 404 o 403 o que te dé la gana e ya está e habitas o problema literalmente o má complicado eu creo que é o login porque al final tienes que poder acceder ao panel da administración então isso contra asenhas robustas típico e luego a parte un acceso restringido por lista blanca vale? o resto de URLs e demand ao final escapar o acceso o barra feed e você pode escapar. Você podeιο directamente o que pasa que o warp por defekto não le hace e o deixa o próprio o warp.org teme as posters e ja os digo que é um xeiro bastante perdigroso então a maioria de URLs é escapar o acceso e para temas máis sensibles de login transpar o acesso por lista blanca ou fail 2 main o desa estilo se mute atáqueis de fuera o bruta porque a maioria não le vou fazer porque é ilegal e a maioria de panels de admin son vulnerables si non tienen un capture o algo desse estilo a ataques de fuerza bruta e mais o de Warp Press porque o de Warp Press sorri por ellos, pero está moi mal hecho porque te dice se o usuario existe ou não e eso para nós é unha información moi variosa porque eu empiezo a meter, ni siquiera tengo que numerar contra os señas, eu empiezo a meter usuarios, listas de usuarios e hasta que me diga este existe, este existe, então eu já tengo unha lista e o que pasa é que eu estou sacando de manera legal mas se tu me capas por ejemplo esas URLs, eu pudo lançar tu nota que é força bruta contra o login para sacar tu usuario e está bien, vale? Então é como o máis problema te. Alguém tiene alguno outra pergunta? Preguntas? Buenas, se ouye? Sí. Primeiro que todo ano era buona por la charla e minha pergunta é serías capaz con un pouco máis de desarrollo de numerar también os plugins e as consecuentes versiones de los mismos? Sim, é muy sencillo, vale? Hay outras URLs, o que pasa é que para ese tipo de cosas há unha herramienta que já existe, vale, que se chama WP scan, vale? Esa herramienta te numera está orientada máis al ataque, esta herramienta está orientada máis a la recopilación de información que al ataque pero sí, de hecho, una de as ideas que teníamos porque eso também pode ser valioso, sobretodo para a gente no lado de atacante o recopilar información de cara a una investigación, por exemplo, criminal de una página sino máis a lado de los defensores vuestro de oe, quiero protegerme, é interesante saber que versiones e se están actualizadas o no. É una de as siguentes cosas que queremos meter e é tradicionalmente sencillo porque es comprobar outra par de URLs, vale? E sacar a información de echa sua red. Pero sí, sí. Mucha gracias por la charla. De cara a a anterior pregunta, comentar por el plugin por si non lo conocéis, que ha hecho Javier Casares de WLP Vulnerabriti que está contrastado con toda la base de datos de Warfans, de los propios creadores de plugins premium e de repositorio que te dice se está actualizado o no e digamos el faio de seguridad que tiene pero te gestar tú en tú instalación, vale? Claro, eso lo comentaba. Por eso digo que como o plugin para ver el estado de seguridad de tú sitio por outro lado, a la hora de complicar el tema del acceso en el login o cacha está muy bien pero en mi caso, con discapacidad visual cada vez que o Google me pone un cacha con imágenes, yo no me puedo logar. Tú concesa alguna outra alternativa na que yo pueda securizar el login pero non me fastidia mi mismo porque para mi é incompatible. Fail to ban. Fail to ban porque es lo máis o final no es un captcha porque tú te lanzar ataques pero si por ejemplo pones cinco intentos un ataque de fuerza bruta llevo 100 peticiones en un segundo se le ha bloqueado directamente de hecho, es lo que tiene mi compañero porque yo dei cursos en su plataforma e ao mesmo tiempo estava haciendo pruebas en su plataforma de este tipo de cosas e me dijo, pues prueba el login e le lance un ataque de fuerza bruta e me quede tres días sin acceder a su plataforma e bien proba macho. E por último, o Fit que a la hora de restringir o acceso bueno, o Wordpress é verdade que te crablea por robots pero é verdade que para acceder o tipo de contenido, bien sea un poscas ou algo no todo momento sacan a información del Fit, se yo lo capo claro, claro, sí Esti completamente de acuerdo ao final, eso tiene que ver un entendimiento entre usabilidade e seguridade o que puedes hacer a información está dando tu Fit é realmente grave que este público se non é realmente grave porque realmente la necesitas, por exemplo, es un podcast o que eres, como antes han comentado mejorar en el SEO e todo eso ao final eso, os crawlers os buscadores lo hacen então necesitas tener, pues no pasa nada aqui intentamos sacar toda a información posible que luego ya es decisión propia de si me compensa porque en este caso por ejemplo, la de Wordpress en el Fit porque os usuarios que habían en el outro lado então te da un pouco igual porque tienes a misma info, pero luego igual hay páginas que están dando muchas máas información que no necesitas sobre todo, eu creo que se queréis capar cosas ou quedaros con cosas que traís que quitar sí o sí eu quitaría o XMDRPC e o Chrome porque son dos ficheros que nos aportan absolutamente nada eu tenho entendido que nos aportan nada e son ficheros que poden llegar a ser perigrosos o resto, o login pues tu ban, en tu caso por ejemplo e o Fit, pues realmente da información que incluso navegando por la propia página tu manualmente lo podés llegar a sacar o que pasa en este caso lo hace automático nada máis preguntas no? buenada Jaime, te traigo o regalo de la organización ha sido super interesante la charla a me máis esta semana a mí personalmente e me ha tocado limpiar tu sí te dijo hackeado de Wordpress a e e e e e e e e e e e e e