CVE-2016-10033 WORDPRESS

CVE-2016-10033 WORDPRESS

อย่างที่กล่าวไปแล้วก่อนหน้านี้ว่า PHPMailer นั้นมีช่องโหว่ผ่านการรับ sender เข้ามาจาก user ซึ่งในบทเรียนนี้เป็น Wordpress version 4.6.0 ซึ่งเป็นเวอร์ชั่นที่มีช่องโหว่เกี่ยวกับ PHPMailer นั่นเอง โดยเราสามารถโจมตีไปยัง PHPMailer ได้ผ่านการทำเรื่องลืม password (lost password) ของ Wordpress นั่นเอง แต่สืบเนื่องด้วยใน email นั้นเราไม่สามารถใช้ / และ space ได้ จึงจำเป็นต้องหาทางแทน / และ space ด้วยตัวแปรอื่นใดๆแทน
โดยเราสามารถแทนค่า / ได้โดยใช้เป็น ${substr{0}{1}{$spool_directory}} โดยค่าของ $spool_directory จะมีค่าเท่ากับ /var/spool/exim4 เมื่อตัดตัวแรกออกมาก็จะได้เป็น / นั่นเอง

$ sendmail -be '${spool_directory}'

และอีกตัวที่เราต้องแทนค่าคือ space เราสามารถทำได้โดยใช้เป็น ${substr{10}{1}{$tod_log}} เพราะเนื่องด้วย $tod_log มันจะเป็นเวลาของการทำงานปัจจุบันนั่นเอง เมื่อตัดตัวอักษรตัวที่ 10 จำนวน 1 ตัวออกมาก็จะได้เป็น ‘ ‘(space) นั่นเอง

$ sendmail -be '${tod_log}'