Aprovechar el acceso administrativo al panel de WordPress para inyectar código PHP malicioso dentro de un tema, y así lograr ejecución remota de comandos (RCE) en el servidor.
🧩 Contexto
Luego del ataque de fuerza bruta exitoso 🧑💻, obtuvimos acceso al panel de administración de WordPress con:
👤 Usuario: admin
🔑 Contraseña: sunshine1
Con estos privilegios podemos editar directamente el código fuente PHP de los temas desde el panel, lo cual nos permitirá ejecutar comandos del sistema operativo 💻
⚙️ Pasos para la Explotación
1️⃣ Ingreso al Panel de Administración
📍 URL:
http://blog.inlanefreight.com/wp-login.php
👉 Iniciar sesión con las credenciales válidas (admin:sunshine1).
Una vez dentro, serás redirigido al panel administrativo (/wp-admin).
2️⃣ Acceder al Editor de Temas
🧭 En el menú lateral izquierdo:
Apariencia → Editor de temas (Theme Editor)
Aquí puedes visualizar y modificar archivos PHP de los temas instalados.
3️⃣ Seleccionar un Tema Inactivo 🎨
Evita corromper el tema activo (por ejemplo Transportex).
Selecciona un tema no utilizado, como Twenty Seventeen.
📌 En la parte superior derecha, elige:
Tema: Twenty Seventeen → [Seleccionar]
4️⃣ Modificar el Archivo 404.php 🧾
Selecciona un archivo que no afecte la funcionalidad principal del sitio, como:
404.php
Luego, agrega la siguiente línea al inicio del archivo 👇 ### 5️⃣ Guardar los cambios 💾
Haz clic en “Actualizar archivo” (Update File).
Esto sobrescribirá el archivo con nuestro código malicioso.
🚀 Prueba de la Ejecución Remota (RCE)
Podemos ejecutar comandos del sistema directamente desde la URL del sitio:
curl -X GET http://94.237.123.178:54295/wp-content/themes/twentyseventeen/404.php?cmd=id
