WordPress后台拿Shell新姿态

*严正声明，本文仅限技术讨论，严禁用于其他用途。

前言

笔者在一次挖洞过程中，发现了目标C段里存在一台有WordPress程序的服务器，当时看页面内容还是默认状态，因此尝试了一下弱口令，成功进入后台。为了扩大战果，因此想拿到服务器权限，于是去网上找了一些关于wordpress后台拿shell的相关方法。

笔者把网上方法汇总了一下：

1、本机建立目录“heimian”,把一句话1.php放进去。打包heimian目录为zip文件。WP后台的主题管理，上传主题，安装；

2、编辑模板/404拿shell；

3、在WordPress管理页面的左边单击“媒体”-“新增媒体案”，接着就会出来一个上传的界面，在该界面中选择“Browser 上傳功能”，直接选择php的Webshell上传即可；

4、编辑已安装的插件插入一句话木马

搭建环境以及所需工具

物理机win10 +phpstudy 2016

菜刀一句话木马代码如下，并保存为ma.php：

这里笔者以最新版WordPress程序测试。

一些尝试

以下是我使用网上说的一些方法做的一些尝试

下图是直接在媒体库直接上传php文件，可以看到在新版本中不能这样操作了。

下图是直接在插件处直接上传php，也无法上传。

下图是在本地新建ma目录后，把一句话文件放到ma目录下然后压缩得到的压缩包ma.zip。

下图是ma.zip，也无法正常上传

总结

可见网上很多文章，发表的时间已有一些年头，WordPress已经慢慢完善了。下面是笔者自己测试成功拿Shell的四种方法。目前，笔者就尝试了这几种方法拿shell，若有其他奇葩思路，欢迎补充。

方法一:夹带主题包拿shell法

既然网上说的把PHP文件直接或间接的压缩到zip文件中行不通，那笔者就在完整的主题包中夹带自己的一句话木马。

首先去网上下载一个免费的主题，途径如下图所示：

下图是把一句话木马文件直接压缩到下载的主题包里：

下图是把修改过的主题包上传上去：

上传成功后，我们可以通过访问/wp-content/themes/[主题名]/[一句话木马文件名]通过菜刀我们成功可以成功连接上去。

方法二:夹带插件拿shell法

根据上面的思路，我们也可以通过把木马夹带在完整的插件包中，上传拿shell。下载插件的地址：https://wordpress.org/plugins/

笔者就以下图这个插件为例，把一句话木马也压缩进去。

然后上传上去

启不启用都是可以的，只要解压缩了之后，都是可以的。

最后，只要访问/wp-content/plugins/[插件名]/[一句话木马名]用菜刀连接即可。

方法三：编辑主题拿shell法

这种方法流传于网上挺久的，也非常的有实用性。

进入后台——外观——编辑——在右侧选择php文件——在PHP文件中添加一句话木马后更新

然后用菜刀连接/wp-content/themes/[主题名]/[修改文件的文件名]即可。

编辑404页面拿shell也是如此，只不过不能通过连接不存在的php文件连接一句话木马。

方法四：编辑已安装插件拿shell法

编辑已经安装的插件的PHP文件。

然后访问连接即可。