从插件入手：发掘WordPress站点的“后入式BUG”

媒介

当使命方针是一个wordpress站点的时辰，是否让你感想过甚大?wpscan扫了半天，却没有任何有操作代价的bug，这时辰就拍拍屁股走人了?

遇WordPress头大?让我们从插件入手!

风行框架一样平常不会有什么太大的裂痕，顶多按照少有的特征接口找到一些可以操作的数据，好比用户的基本信息：ID、名称、邮箱等，为隐藏的爆破登岸做稍微的孝顺。

NO，这时辰更应该深入，越是扫不出的处所，越有也许发明风趣的点。而最轻易呈现非官方，有bug的处所就是插件、自界说插件、第三方成果了。

因此，在面临大型框架时，我们的入手方针就是“一样平常器材扫不出、广泛站点不必然有，按照打点员目标其后添加的，但混入站点拥有必然权限和成果的”裂痕点。

也就是去探求笔者所戏称的“后入式BUG”。

探求plugins的蛛丝马迹

总有人说，拿到一个方针是尺度化框架，让人看着就认为没什么轻易动手测试的处所。着实测试的处所是有的，大佬和小白们的方法却略有差异。

1. 器材扫描

行使器材扫描老是最轻松的，基本信息密查、简朴的资产发掘，乃至某些心大未修复的捡漏、备份文件袒露，非凡路径发掘等，都能靠扫描器就直接扫出来。但轻松是一方面，另一方面你应该也意识到了，行使器材拼的只是带宽和时刻，你的使命入手时刻，扫描一连时刻，扫描完成水平，法则普及水平，陈诉誊写速率，城市影响“你与别人谁能拿到奖金”的功效。而初入安详行业，偷懒不进去不进修的人，都留步在了这里。

2. 手工审计

扫描捡漏之余，一样平常才是大牛们开始发力的真正交锋场。SRC排名靠前的师傅，据我熟悉的就有几个已经本身写出自动化开始做项目了。你用“开源扫描器+手工复测+猖獗写陈诉”跟他们拼?照旧歇歇吧哈哈，他们早直接用SRC的API提交了，从SCAN->TEST->POC->GETSHELL->REPORT一条龙处事。

以前我不信托这个天下有龙，直到我看到了大佬们本身写的“日站一条龙”框架……而大佬们在抢走了第一波饭菜的时辰，随手也拿起勺子开始喝汤了。

究竟措辞，举例声名

大型开源框架许多，能行使插件的也挺多的。好比WordPress的站点这网上一搜一大把，那我们就拿WordPress举例声名吧。

起首任意找个WordPress的网站，我们就到网上搜一个任意看看吧。

按f12挂个黑页，哦不，按f12看看站点今朝引入的文件，和此刻的流量环境，找找API交互的endpoint以及此刻直接能浮现出来的error有没有可以操作的处所。

可以望见，这个站点行使了诸多的插件，某些插接由于太小众，并没被WPScan扫出来，即便扫出来了，或者法则库里也没有统计到有可操作的裂痕，这时辰我们就可以找找这几个插件的源码着手审计。而审计之前，我们也可以在权限应承的页面，随手测试一下这些插件的成果，说不定就有直观的能黑盒测试出来的bug呢?

可以看到，这个站点的PM成果(私信成果)呈现了很多稀疏的error，看范例是xhr，流量中跟从输入拼写一向在递增。貌似是查询用户的?不如直接找到这个API，实行手工测试。

可以看到，单单是黑盒测试，就发明此处API存在一个SQL注入点。

手工复测找到美满闭合方法后，调解速度再行使sqlmap确定一下，可喜可贺，确拭魅找到一个注入点，范例Boolean & Time based。留好截图，组织一下说话，把前后发明、复测前提、payload全附上，一篇代价2k的高危裂痕陈诉就出炉啦!

这里在form里挪用了javascript:autosuggest()来自动补全用户信息。

再看看补全用户信息怎么实现的，我们看看源码，果不其然，在这段代码中就存在一个教科书般的SQLinjection裂痕。

站点的开拓在上线时行使了插件，却没颠末严酷审计，而选择了信赖插件，实属失误。。

在方才的error信息中，，隐隐记得还看到了innerHtml()的挪用，这然则轻易呈现xss的处所啊!虽然，修复方法提议直接了，也就不消思量这个XSS了。。

年久失修碰见双管齐下

就在写文章的时辰，看到上传图片都是直接传到CDN的图床了，直觉汇报我这里也许呈现题目，那是不是图床的第三方SDK也会有洞呢?我们来找找看。

站点行使的是upyun-editor的上传代码，个中有个相同于demo的文件引起了我的留意。

这里看到代码，说不定可以造成反射XSS，那么我们直接POST到站点看看。

恩。。看来是正常理会了。可是Chrome下测试，会被xss defense的内部搜查器拦截下来。。这可咋整。。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!