最近居正通过SQL注入漏洞拿了某个WordPress（简称WP）站点，过程可谓是一波三折。渗透笔记过一段时间计划公开到自己的博客上。在这次渗透中，居正对由数据库权限进行渗透并提权到站点管理员权限有了更多的了解，便在这篇文章中把自己的小经验分享出来。

天下没有不透风的墙：SQL注入的形成

这次遇到的WP站点上存在一个站长自己开发的取得某列表的功能，不过没有采用WP插件的方式来进行开发。URL像是这样：

https://www.example.com/somelist/get.php?id=1

稍微后面加个单引号就报错。

假如采用了WP插件的形式实现此功能，并且遵守插件开发规范，根本不会有这么无脑的注入漏洞。而这个功能，或者说这个程序，是在站点下面直接新建了一个目录，在里面放代码。程序本身和WP一点调用关系都没有，但却和WP用的是同一个数据库。

打个比方，此程序就像是一个好端端的WP大楼上的违建。违建就违建吧，还开了个天窗。我们直接跳伞就进到大楼内部了= =

下面居正就抛出自己摸索出来的“降龙十八掌”！（x）

第一招：高权限SQLMAP写后门

DBA（管理员）权限是可以直接用sqlmap写入后门的。先检测是否为DBA权限：

sqlmap.py -u 注入点 –is-dba

可见此站点有DBA权限，可以直接写后门：

sqlmap.py -u 注入点 –os-shell

但是居正到这一步发现虽然可以正确取得网站路径，但没写权限。那么这招就不能用了。

第二招：有读权限SQLMAP下载wp-config.php

有时候没有写权限但有读取权限，可以直接下载wp-config.php这个文件。它是WP用来存储数据库信息的文件，包括明文的账号密码，有了它，我们可以做这些事：

1.有phpmyadmin的话，直接通过此账号登录

2.利用密码社工管理员进入仪表盘

3.利用密码社工直接连SSH、3389等

但是有个条件，需要得知站点的绝对路径——WP的站点很容易就可以爆出来。

命令类似这样：

sqlmap.py -u 注入点 –file-read “/path/to/wordpress/wp-config.php”

然而居正发现连读权限也没有：

此招不行，咱们另寻门路。

第三招：wp_options表暗藏乾坤

开发过WP插件的朋友都知道，wp_options是个很重要的表，它存储着WP程序及其插件的设置数据。

如果网站有启用SMTP的话，则可以通过注入dump到邮件服务器的账户数据，再利用WP“忘记密码/找回密码”这个功能发送邮件重置管理员密码，然后在已控制的邮件服务器里面可以看到这封邮件。

为什么不直接发送重置密码邮件，然后在wp_users这个表里面找到重置密码key，构造URL来欺骗呢？原来现在新版的WP将这个key做了非可逆加密，无法通过读表的方式得到原始的key：

在wp_options里面找SMTP信息需要注意，有可能站点使用了第三方SMTP插件，然后导致站点没使用WP自带的SMTP，而是使用此插件。而邮箱账户信息后面更新过，只改了插件的设置，但WP自带的设置里面就没有及时更新了。简言之，表中会出现“真的”和“假的”两种SMTP信息，需要去仔细辨认。

类似的命令可以dump这张表：

sqlmap.py -u 注入点 -D 当前数据库名 -T wp_options –dump

然后sqlmap会把表数据以csv的格式存到指定的目录，打开就可以浏览了。

居正在这里面发现了相应的邮箱数据，成功登录。接着就用发送重置密码邮件的方式改了管理员的密码，成功getshell。

getshell之后读取wp-config.php的数据库连接信息，通过phpmyadmin控制数据库。如果没有的话就传一个adminer上去。

提醒一下，先前可以dump表wp_users里面管理员账户加密的hash，在getshell后把密码给他改回去，以清除渗透痕迹。

第四招：有数据库读写权限的提权办法

这个招数用于可以得到数据库的读写权限提权的方法，如可以登录phpmyadmin但是没有getshell。

有两种方法可以用：

1.注册一个站点普通用户，改用户表，把自己提升为管理员。

2.利用outfile之类的SQL语句直接getshell。

下面分别介绍

第一种

先注册一个站点用户，在数据库里面找wp_users这个表，取得自己的ID和随便哪个管理员的ID：

我的ID是72，某管理员的ID是1。

然后打开wp_usermeta这个表，通过ID找到管理员，复制他的wp_capabilities：

再通过ID找到自己的账户，先复制自己现在的wp_capabilities保存好，然后改成管理员的的wp_capabilities。

之后登录仪表盘，会发现自己已经是管理员权限了，可以getshell。

getshell完了之后记得把自己的wp_capabilities再改回原来的那个，以清除痕迹。

第二种

第二种方法不仅仅用于WP，而适用于所有可以操作数据库的站点。

利用需要满足以下条件:

1.DBA权限

2.有绝对路径

3.没有配置–secure-file-priv

在phpmyadmin执行类似命令：

select ‘’ into outfile ‘/path/to/wordpress/shell.php’

来写入一句话。

如果开启了–secure-file-priv，就是禁止使用outfile，还是可以通过写logfile的方法绕过：

SET global general_log=’ON’

SET global general_log_file=’/path/to/wordpress/shell.php’;

select ‘’;

SET global general_log=’OFF’;

详细了解这种姿势：https://zhuanlan.zhihu.com/p/25957366

以上就是带给大家由SQL注入（或数据库权限）渗透WordPress站点的四大招，你都学会了吗？ 

本文首发于淀粉月刊：https://dfkan.com

原作者：居正

发布时间：2018年5月11日

点此查看原文