wordpress漏洞越来越多,就在前段日子又被曝出高危的sql注入漏洞,可以利用该漏洞,
进行提权猜解网站的管理员密码,受影响的版本范围较广,低于wordpress 4.8.2的以下的版本都
含有该sql注入漏洞。该漏洞一出,很多安全从业者对其进行了详细的安全检测与分析,针对该漏
洞的分析与利用,我们来看一下。 该sql注入漏洞的利用是有条件的,首先要有wordpress的一个编辑权限,还需要一个最重要的条
件,就是需要将poc里的相关ID值能写入到mysql数据库里去,但是自定义的ID值,需要单独添加
才能写到数据库,下面我们来介绍该如何添加自定义的字段ID,并写入到数据库中去。Sine安全
公司是一家专注于:服务器安全、网站安全、网站安全检测、网站漏洞修复,渗透测试,安全服务
于一体的网络安全服务提供商。 POST发送数据,截取到META是文章的自定义栏目,打个比方来说一篇文章有标题也有时间,
也有关键词,也有描述文,跟网站优化里的特征差不多,标题,关键字,描述。 点击添加文
章,然后会看到最下方有个自定义的栏目,自定义栏目以meta_key 为数据,保存到数据库的
wp_postmeta表中去。
我们来看下漏洞的利用: 出现漏洞的文件存在于:wp-includes/class-wp-xmlrpc-server.phP我们来看下官方给出的漏洞补丁代码,可以看出对传入进来的参数以及内容进行的安全过滤,同时也过滤了从POC提交
过来的ID值,我们为什么提到自定义栏目这个ID值,因为他过滤的是系统默认的ID值,自定
义的栏目ID并没有限制。我们看下代码如下图:
根据代码我们可以看出POST的数据中,META值是从custom_fields表段中获取的,然后再对其函数里的值进行安全检测,但是从自定义栏目里取出的数据是不经过任何的安全过滤与限制,
直接写入到数据库中去,这样我们就可以构造特殊的sql注入语句进行安全渗透了。Sine安全公
司是一家专注于:服务器安全、网站安全、网站安全检测、网站漏洞修复,渗透测试,安全服务于
一体的网络安全服务提供商。
具体的操作如下:添加自定义栏目的字段,通过POST抓包将thumbnail_id字段替换为%00_thumbnail_id,并访问后台管理页面/wp-admin/edit.php?action=delete&_wpnonce=xxx&ids=55
%1$%s or sleep(10)#,即可执行wordpress SQL注入漏洞,关于漏洞的修复,请尽快升级
wordpress到最新版本。
还没有评论,来说两句吧...