什么是Wordpress自 2003 自推出以来,WordPress 已成为最受欢迎的内容管理系统 (CMS) 之一 它基于 PHP 编程语言和 MariaDB 或 MySQL 数据库 截至 2021 年,有 4.55 亿个网站在 WordPress 上运行,大约占互联网上所有网站的 43%。
正是因为它的流行也使 WordPress 成为大多数网络攻击的目标,因此worpress也是当下各种CTF靶机中的重要类型本文重点讨论作为渗透测试人员如何渗透测试Wordpress站点,尤其是如何得到运行Wordpress站点的主机的控制权,或者Shell(命令执行环境)。
本文也许本文是目前最为全面的拿Shell的方法(哈哈)Wordpress渗透测试步骤一般来说,针对Wordpress类型的渗透测试目标,可使用以下步骤:第一步:通过各类目录扫描工具比如Gobuster, dirb, nikto,dirbuster等枚举出wordpress站点的所在目录。
第二步:接下来的目标是获得Wordpress管理后台的用户名和密码,可先看下有无弱口令(比如admin:admin等),如若无果,可通过wpscan工具或者Hydra工具破解wordpress的管理员用户名和密码。
如果该步骤无法成功,比如目标采用了强口令,那么破解的成功率是很低的,此时可探测是否存在有漏洞的插件$ wpscan --url http://192.168.56.222/wordpress -e u,p
第三步:在获得wordpress管理员用户名和密码后,接下来的目标是拿到目标主机的控制权即Shell获取Shell的方法方法一:将php reverse shell(shell.php)文件的代码拷贝替换Theme Editor中的404.php模板,如果可以update file成功,那表明通过该方式可以获取目标主机的Shell。
一旦update file成功,在攻击机比如Kali Linux启动nc监听(端口要与shell.php一致),然后访问靶机的URL,该URL为shell.php所在url, 可在页面源代码中查找到该url的前缀,一般是在/wp-content/
方法二: 利用Metasploit 框架,通过Metasploit中的exploit/unix/webapp/wp_admin_shell_upload模块获取目标主机的Shell,根据靶机情况设置管理员用户名和密码等信息,它应该适用于所有版本的 WordPress,因此,它会提供网络服务器的 meterpreter 会话。
方法三:将php reverse shell文件压缩成zip格式,然后将其作为插件进行安装方法四:登录wordpress管理后台,看是否已经安装有插件,并且插件的功能中有可以上传文件的入口,此时将php reverse shell以规定的格式(比如zip)上传至目标站点。
方法五:向目标主机上传有漏洞的插件,比如Responsive Thumbnail slider version 1.0
上传成功后,利用metasploit中的wp_responsive_thumbnail_slider_upload模块获得 meterpreter session 方法六:直接在安装Plugin处上传php reverse shell.php文件,无需压缩,可能没有返回成功上传的提示,但是到/wp-content/uploads即可看到所上传的文件。
方法七:在本靶机中wordpress的主题为nanospace,通过修改该主题下的404.php模板文件失败,注意无需真的切换主题,而是在右上侧的Select theme to edit:,选择任意一个theme,比如本例中选择Twenty Nineteen主题,然后修改该主题下的404.php文件,即可成功修改,但是此时404.php文件位置一定要对应Twenty Nineteen主题的目录。
方法八:通过替换主题文件,即在从网上下载与靶机相同的主题文件,然后将其中的404.php内容替换为shell.php内容,然后上传更新主题文件,但是本人没有找到合适的环境测试成功该方法,列在此处仅为参考。
亲爱的读者们,感谢您花时间阅读本文。如果您对本文有任何疑问或建议,请随时联系我。我非常乐意与您交流。
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。