WordPress CMS到内网渗透 – 作者:凯信特安全团队-安全小百科

WordPress CMS到内网渗透 – 作者:凯信特安全团队

WordPress CMS到内网渗透

0x01故事起因

朋友搭了个WordPress站打算开博客玩玩，让lz帮忙渗透测试一波，顺便也让楼主练练手，看看什么地方有漏洞需要加固，然后菜鸟的表演就开始了。

0x02渗透思路

1.信息收集

2.分析信息查找相关漏洞

3.测试漏洞的利用性

4.通过可用漏洞进行getshell

5.查看getshell当前权限判断是否需提权

6.上传脚本查看内网中存活主机与开放端口情况

7.进行内网域渗透

8.远程登录内网服务器

0x03信息收集

查看地址10.11.5.62页面找了找，没什么可用的功能和普通博客一样，于是进行一波信息收集，直接整Nmap来扫描10.11.5.62地址的网站查看服务端口开放情况。扫描结果果然不出乎意料，预测开放一堆端口。（信息收集涉及内容较多，这里只放主线信息）

0x04分析信息查找漏洞

1.看到139、445端口脑海中不由自主的就蹦出来MS17-010利用SMBv1和NBT远程代码执行漏洞，可直接上kali下MSF验证是否有远程代码执行漏洞存在。

2.看到3306与3389都可进行爆破。

3.进行到这里lz突然醒悟，它既然是Wordpress为何不用神器快速高效？拿出kali下落灰已久的WPScan。

4.简单介绍一下WPScan：

WPScan是Kali Linux默认自带的一款漏洞扫描工具，它采用Ruby编写，能够扫描WordPress网站中的多种安全漏洞，其中包括WordPress本身的漏洞、插件漏洞和主题漏洞。最新版本WPScan的数据库中包含超过18000种插件漏洞和2600种主题漏洞，并且支持最新版本的WordPress。值得注意的是，它不仅能够扫描类似robots.txt这样的敏感文件，而且还能够检测当前已启用的插件和其他功能。

5.WPScan功能之强大面对WordPress可以为所欲为。（此处禁止成语接龙）

通过kali WPScan扫描目标网站，得到wordpress版本号等信息。

执行命令：

wpscan -u 10.11.5.62 -e u //扫描url10.11.5.62，枚举用户

wpscan -u 10.11.5.62 -evp //扫描url10.11.5.62，枚举易攻击插件

6.待扫描完成后，查看扫描结果，robots.txt还有留存、得到WP-SYMPOSIUM插件漏洞信息，WP-SYMPOSIUM插件有SQL注入漏洞。

0x05漏洞利用

通过漏洞信息访问其网站，根据网站创建者未修改wordpress建站原始参数的情况下，构造SQL注入语句直接从数据库中获取到后台登录账号密码，执行wget命令，得到word press后台登录账号和密码。

命令：WGET

http://10.11.5.62/wp-content/plugins/wp-symposium/get_album_item.php?size=concat(user_login,user_pass)from wordpress.wp_users%20;%20–” -O output.txt

GET文件成功，文件保存在linux根目录，查看文件内信息。包含账号密码，获取成功。

通过分析密码是通过MD5加密，在线解密MD5密码。看到账号Lz微微一笑感受到朋友是个老二次猿了。