記錄一次wordpress滲透測試實戰

0x00 前言

昨天晚上，下班回到家正閑得沒事做的時候，突然想起來之前和扣扣群里的群友玩游戲的時候群友搭了一個語音服務器，于是好奇心和職業病指引我去那個域名看看是啥網站，于是有了這一次的滲透之旅

0x01 信息收集

群友的域名是這個: Xxxxxxx.top，是一個個人博客，群友也是一個代碼人。看來這是他的個人博客，檢測到濃度

看了看用的是世界上最安全的wordpress，看來這站不好拿啊，一般wordpress的前臺沒啥問題，但是如果登陸到管理員后臺基本上就寄了。

點擊登陸

沖田總司登錄框，發現有注冊

那就注冊一個

登陸一下沒什么功能，寄! 暫時沒用了

那就掃一下端口，發現mysql部署在公網，好家伙，這不給你炸了

我直接無語子，果然一般的代碼人安全意識都沒有那么好，畢竟不是安全人

0x02 開始滲透

隨便整個mysql遠程連接工具，找找管理員密碼, WPS的賬號信息存在wp_users里面

密碼經過常人看不懂的加密了，我嘗試修改了密碼，發現其他賬號是能成功修改的，但是唯獨管理員修改了密碼也提示錯誤，密碼又解密不了，真是絕絕子.

好家伙，一時間竟沒有了頭緒，但是來都來了，又怎么能放棄呢。

接著翻了一下數據庫，發現有一個wp_usermeta的表很特殊，我懷疑這是不是分配用戶權限的地方

很快一個地方就引起了我的注意

本文盲去查了一下，發現是 帕瓦 的意思 !!!

找到描述自己的那一部分，發現我的 帕瓦是普通用戶，替換之

再次登陸，權限拉滿，這波蕪湖起飛

接下來就簡單了，我已經看到shell在招手了，在后臺修改主題文件的配置，加入一句話木馬

訪問一下，發現可以訪問，路徑為

url+/wp-content/themes/+主題名/+修改文件的文件名

蟻劍一波帶走 寄! 告知小伙伴，繼續上班，話說我上午上班都在寫博客，該吃午飯了O(∩_∩)O

0x03 總結

本次滲透過程比較簡單，主要還是通過公網的3306成功爆破得到數據庫數據，再通過對比數據庫內容提升權限，然后使用wordpress后臺通殺拿shell，完成滲透。

但是處處需要細心和耐心，否則有些東西就會錯過導致滲透的失敗。一開始我在訪問主題文件的時候是403的，那個404.php一開始我也是被拒絕訪問的，不知道是什么原因，直到最后才找到了一個能成功訪問的php頁面。

昨晚搞完都兩點半了，滲透狗就是肝出來的。