最近居正通過SQL注入漏洞拿了某個WordPress（簡稱WP）站點，過程可謂是一波三折。滲透筆記過一段時間計劃公開到自己的博客上。在這次滲透中，居正對由數據庫權限進行滲透并提權到站點管理員權限有了更多的了解，便在這篇文章中把自己的小經驗分享出來。

天下沒有不透風的墻：SQL注入的形成

這次遇到的WP站點上存在一個站長自己開發的取得某列表的功能，不過沒有采用WP插件的方式來進行開發。URL像是這樣：

https://www.example.com/somelist/get.php?id=1

稍微后面加個單引號就報錯。

假如采用了WP插件的形式實現此功能，并且遵守插件開發規范，根本不會有這么無腦的注入漏洞。而這個功能，或者說這個程序，是在站點下面直接新建了一個目錄，在里面放代碼。程序本身和WP一點調用關系都沒有，但卻和WP用的是同一個數據庫。

打個比方，此程序就像是一個好端端的WP大樓上的違建。違建就違建吧，還開了個天窗。我們直接跳傘就進到大樓內部了= =

下面居正就拋出自己摸索出來的“降龍十八掌”！（x）

第一招：高權限SQLMAP寫后門

DBA（管理員）權限是可以直接用sqlmap寫入后門的。先檢測是否為DBA權限：

sqlmap.py -u 注入點 –is-dba

可見此站點有DBA權限，可以直接寫后門：

sqlmap.py -u 注入點 –os-shell

但是居正到這一步發現雖然可以正確取得網站路徑，但沒寫權限。那么這招就不能用了。

第二招：有讀權限SQLMAP下載wp-config.php

有時候沒有寫權限但有讀取權限，可以直接下載wp-config.php這個文件。它是WP用來存儲數據庫信息的文件，包括明文的賬號密碼，有了它，我們可以做這些事：

1.有phpmyadmin的話，直接通過此賬號登錄

2.利用密碼社工管理員進入儀表盤

3.利用密碼社工直接連SSH、3389等

但是有個條件，需要得知站點的絕對路徑——WP的站點很容易就可以爆出來。

命令類似這樣：

sqlmap.py -u 注入點 –file-read “/path/to/wordpress/wp-config.php”

然而居正發現連讀權限也沒有：

此招不行，咱們另尋門路。

第三招：wp_options表暗藏乾坤

開發過WP插件的朋友都知道，wp_options是個很重要的表，它存儲著WP程序及其插件的設置數據。

如果網站有啟用SMTP的話，則可以通過注入dump到郵件服務器的賬戶數據，再利用WP“忘記密碼/找回密碼”這個功能發送郵件重置管理員密碼，然后在已控制的郵件服務器里面可以看到這封郵件。

為什么不直接發送重置密碼郵件，然后在wp_users這個表里面找到重置密碼key，構造URL來欺騙呢？原來現在新版的WP將這個key做了非可逆加密，無法通過讀表的方式得到原始的key：

在wp_options里面找SMTP信息需要注意，有可能站點使用了第三方SMTP插件，然后導致站點沒使用WP自帶的SMTP，而是使用此插件。而郵箱賬戶信息后面更新過，只改了插件的設置，但WP自帶的設置里面就沒有及時更新了。簡言之，表中會出現“真的”和“假的”兩種SMTP信息，需要去仔細辨認。

類似的命令可以dump這張表：

sqlmap.py -u 注入點 -D 當前數據庫名 -T wp_options –dump

然后sqlmap會把表數據以csv的格式存到指定的目錄，打開就可以瀏覽了。

居正在這里面發現了相應的郵箱數據，成功登錄。接著就用發送重置密碼郵件的方式改了管理員的密碼，成功getshell。

getshell之后讀取wp-config.php的數據庫連接信息，通過phpmyadmin控制數據庫。如果沒有的話就傳一個adminer上去。

提醒一下，先前可以dump表wp_users里面管理員賬戶加密的hash，在getshell后把密碼給他改回去，以清除滲透痕跡。

第四招：有數據庫讀寫權限的提權辦法

這個招數用于可以得到數據庫的讀寫權限提權的方法，如可以登錄phpmyadmin但是沒有getshell。

有兩種方法可以用：

1.注冊一個站點普通用戶，改用戶表，把自己提升為管理員。

2.利用outfile之類的SQL語句直接getshell。

下面分別介紹

第一種

先注冊一個站點用戶，在數據庫里面找wp_users這個表，取得自己的ID和隨便哪個管理員的ID：

我的ID是72，某管理員的ID是1。

然后打開wp_usermeta這個表，通過ID找到管理員，復制他的wp_capabilities：

再通過ID找到自己的賬戶，先復制自己現在的wp_capabilities保存好，然后改成管理員的的wp_capabilities。

之后登錄儀表盤，會發現自己已經是管理員權限了，可以getshell。

getshell完了之后記得把自己的wp_capabilities再改回原來的那個，以清除痕跡。

第二種

第二種方法不僅僅用于WP，而適用于所有可以操作數據庫的站點。

利用需要滿足以下條件:

1.DBA權限

2.有絕對路徑

3.沒有配置–secure-file-priv

在phpmyadmin執行類似命令：

select ‘’ into outfile ‘/path/to/wordpress/shell.php’

來寫入一句話。

如果開啟了–secure-file-priv，就是禁止使用outfile，還是可以通過寫logfile的方法繞過：

SET global general_log=’ON’

SET global general_log_file=’/path/to/wordpress/shell.php’;

select ‘’;

SET global general_log=’OFF’;

詳細了解這種姿勢：https://zhuanlan.zhihu.com/p/25957366

以上就是帶給大家由SQL注入（或數據庫權限）滲透WordPress站點的四大招，你都學會了嗎？?

本文首發于淀粉月刊：https://dfkan.com

原作者：居正

發布時間：2018年5月11日

點此查看原文