由SQL注入(或数据库权限)渗透WordPress站点的一些手法

最近居正通过SQL注入漏洞拿了某个WordPress(简称WP)站点,过程可谓是一波三折。渗透笔记过一段时间计划公开到自己的博客上。在这次渗透中,居正对由数据库权限进行渗透并提权到站点管理员权限有了更多的了解,便在这篇文章中把自己的小经验分享出来。

天下没有不透风的墙:SQL注入的形成

这次遇到的WP站点上存在一个站长自己开发的取得某列表的功能,不过没有采用WP插件的方式来进行开发。URL像是这样:

https://www.example.com/somelist/get.php?id=1

稍微后面加个单引号就报错。

假如采用了WP插件的形式实现此功能,并且遵守插件开发规范,根本不会有这么无脑的注入漏洞。而这个功能,或者说这个程序,是在站点下面直接新建了一个目录,在里面放代码。程序本身和WP一点调用关系都没有,但却和WP用的是同一个数据库。

打个比方,此程序就像是一个好端端的WP大楼上的违建。违建就违建吧,还开了个天窗。我们直接跳伞就进到大楼内部了= =

下面居正就抛出自己摸索出来的“降龙十八掌”!(x)

第一招:高权限SQLMAP写后门

DBA(管理员)权限是可以直接用sqlmap写入后门的。先检测是否为DBA权限:

sqlmap.py -u 注入点 –is-dba

可见此站点有DBA权限,可以直接写后门:

sqlmap.py -u 注入点 –os-shell

但是居正到这一步发现虽然可以正确取得网站路径,但没写权限。那么这招就不能用了。

第二招:有读权限SQLMAP下载wp-config.php

有时候没有写权限但有读取权限,可以直接下载wp-config.php这个文件。它是WP用来存储数据库信息的文件,包括明文的账号密码,有了它,我们可以做这些事:

1.有phpmyadmin的话,直接通过此账号登录

2.利用密码社工管理员进入仪表盘

3.利用密码社工直接连SSH、3389等

但是有个条件,需要得知站点的绝对路径——WP的站点很容易就可以爆出来。

命令类似这样:

sqlmap.py -u 注入点 –file-read “/path/to/wordpress/wp-config.php”

然而居正发现连读权限也没有:

此招不行,咱们另寻门路。

第三招:wp_options表暗藏乾坤

开发过WP插件的朋友都知道,wp_options是个很重要的表,它存储着WP程序及其插件的设置数据。

如果网站有启用SMTP的话,则可以通过注入dump到邮件服务器的账户数据,再利用WP“忘记密码/找回密码”这个功能发送邮件重置管理员密码,然后在已控制的邮件服务器里面可以看到这封邮件。

为什么不直接发送重置密码邮件,然后在wp_users这个表里面找到重置密码key,构造URL来欺骗呢?原来现在新版的WP将这个key做了非可逆加密,无法通过读表的方式得到原始的key:

在wp_options里面找SMTP信息需要注意,有可能站点使用了第三方SMTP插件,然后导致站点没使用WP自带的SMTP,而是使用此插件。而邮箱账户信息后面更新过,只改了插件的设置,但WP自带的设置里面就没有及时更新了。简言之,表中会出现“真的”和“假的”两种SMTP信息,需要去仔细辨认。

类似的命令可以dump这张表:

sqlmap.py -u 注入点 -D 当前数据库名 -T wp_options –dump

然后sqlmap会把表数据以csv的格式存到指定的目录,打开就可以浏览了。

居正在这里面发现了相应的邮箱数据,成功登录。接着就用发送重置密码邮件的方式改了管理员的密码,成功getshell。

getshell之后读取wp-config.php的数据库连接信息,通过phpmyadmin控制数据库。如果没有的话就传一个adminer上去。

提醒一下,先前可以dump表wp_users里面管理员账户加密的hash,在getshell后把密码给他改回去,以清除渗透痕迹。

第四招:有数据库读写权限的提权办法

这个招数用于可以得到数据库的读写权限提权的方法,如可以登录phpmyadmin但是没有getshell。

有两种方法可以用:

1.注册一个站点普通用户,改用户表,把自己提升为管理员。

2.利用outfile之类的SQL语句直接getshell。

下面分别介绍

第一种

先注册一个站点用户,在数据库里面找wp_users这个表,取得自己的ID和随便哪个管理员的ID:

我的ID是72,某管理员的ID是1。

然后打开wp_usermeta这个表,通过ID找到管理员,复制他的wp_capabilities:

再通过ID找到自己的账户,先复制自己现在的wp_capabilities保存好,然后改成管理员的的wp_capabilities。

之后登录仪表盘,会发现自己已经是管理员权限了,可以getshell。

getshell完了之后记得把自己的wp_capabilities再改回原来的那个,以清除痕迹。

第二种

第二种方法不仅仅用于WP,而适用于所有可以操作数据库的站点。

利用需要满足以下条件:

1.DBA权限

2.有绝对路径

3.没有配置–secure-file-priv

在phpmyadmin执行类似命令:

select ‘’ into outfile ‘/path/to/wordpress/shell.php’

来写入一句话。

如果开启了–secure-file-priv,就是禁止使用outfile,还是可以通过写logfile的方法绕过:

SET global general_log=’ON’

SET global general_log_file=’/path/to/wordpress/shell.php’;

select ‘’;

SET global general_log=’OFF’;

详细了解这种姿势:https://zhuanlan.zhihu.com/p/25957366

以上就是带给大家由SQL注入(或数据库权限)渗透WordPress站点的四大招,你都学会了吗? 


本文首发于淀粉月刊:https://dfkan.com

原作者:居正

发布时间:2018年5月11日

点此查看原文

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,456评论 5 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,370评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,337评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,583评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,596评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,572评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,936评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,595评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,850评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,601评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,685评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,371评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,951评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,934评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,167评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 43,636评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,411评论 2 342

推荐阅读更多精彩内容

  • http://192.168.136.131/sqlmap/mysql/get_int.php?id=1 当给sq...
    xuningbo阅读 10,241评论 2 22
  • sqlmap用户手册 说明:本文为转载,对原文中一些明显的拼写错误进行修正,并标注对自己有用的信息。 ======...
    wind_飘阅读 2,025评论 0 5
  • 一套实用的渗透测试岗位面试题,你会吗? 1.拿到一个待检测的站,你觉得应该先做什么? 收集信息 whois、网站源...
    g0阅读 4,806评论 0 9
  • sqlmap也是渗透中常用的一个注入工具,其实在注入工具方面,一个sqlmap就足够用了,只要你用的熟,秒杀各种工...
    查无此人asdasd阅读 1,527评论 0 1
  • sqlmap也是渗透中常用的一个注入工具,其实在注入工具方面,一个sqlmap就足够用了,只要你用的熟,秒杀各种工...
    linkally阅读 6,854评论 1 40