您现在的位置是:首页 > cms教程 > WordPress教程WordPress教程
wordpress 4.6以上版本任意命令执行漏洞的修复方法
如萱2025-03-02 16:47:34WordPress教程已有4人查阅
导读漏洞简述当WordPress 使用 PHPMailer 组件向用户发送邮件。攻击者在找回密码时会使用PHPmailer发送重置密码的邮件,利用substr(字符串截取函数)、$run(系统调用函数)等构造
漏洞简述
当WordPress 使用 PHPMailer 组件向用户发送邮件。攻击者在找回密码时会使用PHPmailer发送重置密码的邮件,利用substr(字符串截取函数)、$run(系统调用函数)等构造payload,即可进行远程命令执行。0x00漏洞影响
WordPress <= 4.6.0
PHPMailer < 5.2.180x01漏洞原理
主要是phpmailer组件调用linux系统命令sendmail进行邮件发送,通过传入的SERVER_NAME获取主机名(即请求host值),而SERVER_NAME没有经过任何过滤,从而产生漏洞,而exim4替代了sendmail的功能,即可以利用substr,run函数等进入绕过,构造payload。0x02环境搭建
下载vulhub、docker-compose来一键搭建环境,vulhub链接:https://vulhub.org/#/environments/wordpress/pwnscriptum/0x03漏洞复现
漏洞存在后台登录地方的找回密码页面:http://192.168.1.160/wp-login.php?action=lostpassword
我们输入一个存在的用户,然后获取新密码,bp抓post包
请求包的HOST处的参数值即是该漏洞的payload点。
该漏洞利用需要满足以下几点:
1.执行的命令不能包含一些特殊的字符,例如 :,',"和管道符等。
2.该命令将转换为小写字母
3.命令需要使用绝对路径
4.需要知道一个现有的用户名,这里是admin
需要注意:
该命令执行只在服务器端默默执行命令,不会显示在客户端响应界面
payload构造: payload转换规则:
1.payload中run{}里面所有 / 用 ${substr{0}{1}{$spool_directory}} 代替
2.payload中run{}里面所有 空格 用 ${substr{10}{1}{$tod_log}} 代替
上面的payload分别转换为: 将最终转化的payload分别拿到漏洞点去执行,观察效果
第一个payload在/tmp下新建1.php
在靶机上看看
命令只会默认执行,而不会在客户端显示出来,那么我们就只能采用反弹shell的方式获取到交互式shell来进行最终控制。
利用第二个payload从自己的外网vps上下载事先写好的反弹shell的脚本到靶机上的/tmp目录下,反弹到的目标为vps上。
发包之后查看靶机上的/tmp目录
看到已经成功下载到了靶机上的/tmp目录下,现在只需利用bash来执行这个shell脚本;
利用第三个payload来执行刚刚下载的反弹命令脚本,执行前需要在vps上进行监听指定端口,这里为7777:
burpsuite只要一发包,vps即可反弹上靶机的shell来
这样才达到了真正的利用该漏洞getshell了。0x04漏洞修复
当然是更新wordpress、phpmailer到较新版本。
当WordPress 使用 PHPMailer 组件向用户发送邮件。攻击者在找回密码时会使用PHPmailer发送重置密码的邮件,利用substr(字符串截取函数)、$run(系统调用函数)等构造payload,即可进行远程命令执行。0x00漏洞影响
WordPress <= 4.6.0
PHPMailer < 5.2.180x01漏洞原理
主要是phpmailer组件调用linux系统命令sendmail进行邮件发送,通过传入的SERVER_NAME获取主机名(即请求host值),而SERVER_NAME没有经过任何过滤,从而产生漏洞,而exim4替代了sendmail的功能,即可以利用substr,run函数等进入绕过,构造payload。0x02环境搭建
下载vulhub、docker-compose来一键搭建环境,vulhub链接:https://vulhub.org/#/environments/wordpress/pwnscriptum/0x03漏洞复现
漏洞存在后台登录地方的找回密码页面:http://192.168.1.160/wp-login.php?action=lostpassword
我们输入一个存在的用户,然后获取新密码,bp抓post包
请求包的HOST处的参数值即是该漏洞的payload点。
该漏洞利用需要满足以下几点:
1.执行的命令不能包含一些特殊的字符,例如 :,',"和管道符等。
2.该命令将转换为小写字母
3.命令需要使用绝对路径
4.需要知道一个现有的用户名,这里是admin
需要注意:
该命令执行只在服务器端默默执行命令,不会显示在客户端响应界面
payload构造: payload转换规则:
1.payload中run{}里面所有 / 用 ${substr{0}{1}{$spool_directory}} 代替
2.payload中run{}里面所有 空格 用 ${substr{10}{1}{$tod_log}} 代替
上面的payload分别转换为: 将最终转化的payload分别拿到漏洞点去执行,观察效果
第一个payload在/tmp下新建1.php
在靶机上看看
命令只会默认执行,而不会在客户端显示出来,那么我们就只能采用反弹shell的方式获取到交互式shell来进行最终控制。
利用第二个payload从自己的外网vps上下载事先写好的反弹shell的脚本到靶机上的/tmp目录下,反弹到的目标为vps上。
发包之后查看靶机上的/tmp目录
看到已经成功下载到了靶机上的/tmp目录下,现在只需利用bash来执行这个shell脚本;
利用第三个payload来执行刚刚下载的反弹命令脚本,执行前需要在vps上进行监听指定端口,这里为7777:
burpsuite只要一发包,vps即可反弹上靶机的shell来
这样才达到了真正的利用该漏洞getshell了。0x04漏洞修复
当然是更新wordpress、phpmailer到较新版本。
本文标签:
很赞哦! (1)
| 暂无内容 |
| 暂无内容 |
相关文章
- PHPCMS漏洞authkey生成算法问题导致authkey泄露
- PHPCMS漏洞文件poster.php修复方法
- PHPCMS常见漏洞补丁修复方法
- PHPCMSv9漏洞宽字节注入的修复方法
- 易优cms后台RCE任意文件上传漏洞
- Wordpress漏洞分析和解决方法
- Wordpress4.6任意命令执行漏洞修复方法
- ecshop后台0day漏洞原理和利用方法
- CVE-2020-25213 WordPress远程代码执行漏洞修复方法
- ecshop漏洞/goods.php SQL Injection Vul修复方法
- ECSHOP漏洞\admin\edit_languages.php GETSHELL Based On Inject
- ecshop常见sql注入漏洞修复
| 暂无内容 |
| 暂无内容 |
随机图文
Wordpress不用插件SEO优化的方法
在标签直接加入meta标签,如:标题的修改在设置-常规-站点标题下修改, 高级域名转 域名也在此修改。 
WordPress登录后可见评论内容的实现方法
WordPress正常可以设置登录发表评论,但不登录也可以正常看到留言评论内容,最近有用户说接到通知个人备案的网站不允许有评论互动功能
wordpress需要更新升级吗
使用WORDPRESS很久的小伙伴可能都知道,Wordpress的更新频率很高,早期已经建好站点的小伙伴会发现自己网站的Wordpress版本已经和
Wordpress博客怎么添加MP3播放器
怎么为Wordpress博客添加MP3播放器?首先到Flash MP3 Player 的主页上下载该程序。解压缩之后,将 mp3player.swf 和 ufo.js 两个文件放到服务器上
| 留言与评论 (共有 0 条评论) |
