WordPress 插件 WP All Import <= 3.6.7 - 远程代码执行(附POC下载)

admin 2022年11月7日21:56:41评论35 views字数 1556阅读5分11秒阅读模式

===================================

免责声明

请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。

0x01 漏洞介绍

由于缺少通过 wp_all_import_get_gz.php 文件进行的文件类型验证,插件 WP All Import 容易受到任意文件上传的影响,包括 3.6.7 及以下版本。这使得具有管理员级别及以上权限的经过身份验证的攻击者可以在受影响的站点服务器上上传任意文件,这可能使远程代码执行成为可能。

0x02 漏洞利用

1.准备zip文件:

使用您的有效负载创建一个 PHP 文件(例如反向 shell)
使用该文件的名称设置变量“payload_file_name”(例如“shell.php”)
使用有效负载创建一个 zip 文件
使用此文件的 PATH 设置变量“zip_file_to_upload”(例如“/root/shell.zip”)
2. 使用管理员帐号登录:
使用目标的基本 URL 设置变量“target_url”(不要以斜杠 / 结束字符串)
使用管理员帐户的用户名设置变量“admin_user”
使用管理员帐户的密码设置变量“admin_pass”
3. 使用 get_wpnonce_upload_file() 方法获取 wpnonce
实际上有两种类型的 wpnonce:
第一个 wpnonce 将使用 PluginSetting 类中的方法 retrieve_wpnonce_edit_settings() 检索。这个 wpnonce 允许我们更改插件设置(检查步骤 4)
第二个 wpnonce 将使用 PluginSetting 类中的方法 retrieve_wpnonce_upload_file() 检索。这个 wpnonce 允许我们上传文
4. 使用 PluginSetting 类中的 check_if_secure_mode_is_enabled() 方法检查是否启用了插件安全模式
如果启用了安全模式,则 zip 内容将放置在具有随机名称的文件夹中。该漏洞利用将禁用安全模式。通过禁用安全模式,zip 内容将放在主文件夹中(检查变量 payload_url)。启用和禁用安全模式的方法是 set_plugin_secure_mode(set_to_enabled:bool, wpnonce:str)
如果未启用安全模式,则漏洞利用将上传文件,但不会启用安全模式
5.使用upload_file(wpnonce_upload_file:str)方法上传文件
上传后,服务器应该回复 HTTP 200 OK 但这并不意味着上传成功完成。响应将包含如下所示的 JSON:{"jsonrpc":"2.0","error":{"code":102,"message":"请确认您上传的文件是有效的 ZIP 文件。" },"is_valid":false,"id":"id"} 如您所见,它表示代码 102 存在错误,但根据我所做的测试,上传已完成
6. 如果使用 switch_back_to_secure_mode() 方法启用了安全模式,则重新启用它
7. 使用 activate_payload() 方法激活有效载荷
您可以定义一种方法来激活有效负载。这种选择背后的原因是这个漏洞利用不提供任何有效负载。由于您可以使用自定义负载,您可能希望使用 HTTP POST 请求而不是 HTTP GET 请求来激活它,或者您可能希望传递参数

0x03 项目链接下载

1、通过阅读原文,到项目地址下载

2、关注公众号"网络安全者",后台回复:20221107

WordPress 插件 WP All Import <= 3.6.7 - 远程代码执行(附POC下载)


原文始发于微信公众号(网络安全者):WordPress 插件 WP All Import <= 3.6.7 - 远程代码执行(附POC下载)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月7日21:56:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   WordPress 插件 WP All Import <= 3.6.7 - 远程代码执行(附POC下载)http://cn-sec.com/archives/1394817.html

发表评论

匿名网友 填写信息