之前说要写,还是考虑缓一缓再发出来...国庆也要过完了
先分享一个WordPress渗透的技巧吧,也是看91上一篇老文的启发,希望能启发读者有所帮助,纯文字就复制了,免得去点原文麻烦,更新内容还见原文
参考
拿 wordpress 站的一个小技巧
这是 13 年的老文章了,文中思路很骚,利用数据库中密码重置的user_activation_key构造重置链接,但当下 WordPress 最新版(4.9.8)已是 hash 后的结果了,无法利用
思路
受上文启发,同样是利用密码重置,在有上述 SQL 注入的情况下,那么可以读取表中关于 SMTP 的配置,每个插件用的表都不太一样,测试了几个插件一般是明文存储或 Base64 编码一下,那么可以获取其发件账号,登陆账号可获取邮件,那么就可以重置管理员密码,具体操作如下
探测出使用的插件信息,确定位置
注出管理员账号,SMTP 配置等
登陆邮箱(Web 或邮件客户端)
重置管理员密码,发送重置邮件
收取重置邮件,重置管理员密码
登陆后台 getshell
缺点就是管理员会收到重置邮件,可以先读出原来 hash,迅速拿到 shell 后再把 hash 写回去…
防护
仅开启发件,关闭邮箱收取,如 POP3/IMAP 协议,并为各个协议使用不同的密码,以防密码泄露使用 Web 登陆,或开启登陆两步验证
其他思路
如果在有整个 WordPress 数据库以及wp-config中的全部 KEY 和 SALT 等配置信息的情况下,能不能恢复出管理员密码呢?或者计算出管理员 Cookie 信息呢?
经过研究尝试或许是不行的…
相关工具
WPScan
非常强大的 WordPress 扫描器,可收集信息,插件漏洞,用户爆破等等
发表评论 取消回复