漏洞文件定位
根据漏洞通告提示问题点在反序列化
全局查找反序列化关键字
漏洞分析
构造反序列化payload通过POST请求query参数直接获取
反向追踪,发现airinblog_fun_loadmore_post_cat和airinblog_fun_loadmore_cat_home方法都可以进入airinblog_fun_loadmore_post_grid
那么思路就比较简单了,post请求携带query参数,即可触发反序列化。
但是在调试的过程中get_theme_mod( 'airinblog_cus_pagination_variant', 'v1' )值为v1
推测可能是需要购买Premium版才能出发漏洞
ps:个人也不是很熟悉这个模块,如果推测错误,请各位大佬吾喷,谢谢
那么修改代码将v2修改为v1测试反序列漏洞
要想触发airinblog_fun_loadmore_post_cat或airinblog_fun_loadmore_cat_home方法需要使用使用ajax请求
在if里进行标记,查看是否进入if结构体里
成功进入if结构体
进入airinblog_fun_loadmore_post_cat_home函数
POST/wp-admin/admin-ajax.phpHTTP/1.1Host:wp.comContent-Length:141X-Requested-With:XMLHttpRequestAccept-Language:zh-CN,zh;q=0.9Accept:*/*Content-Type:application/x-www-form-urlencoded; charset=UTF-8User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/130.0.6723.70 Safari/537.36Origin:http://wp.comReferer:http://wp.com/wp-admin/upload.phpAccept-Encoding:gzip, deflate, brCookie:wordpress_b984edcdfe562d3f512e5f50c1f1a1ed=admin%7C1732418882%7CTQMb4GgXWtRQqcNRfd0yLyi9uf5nEg8eZIZiVBl7Sgs%7C7e87af5a8e1eca5fb4201230f2207d330cf7299f2990c9a943d39c1e781bfe51; wordpress_test_cookie=WP+Cookie+check; wordpress_logged_in_b984edcdfe562d3f512e5f50c1f1a1ed=admin%7C1732418882%7CTQMb4GgXWtRQqcNRfd0yLyi9uf5nEg8eZIZiVBl7Sgs%7C05dfbc76448616f26f820afed6d5a4285441febaca46c3c951c825f03a9462e1; wp-settings-time-1=1732248671Connection:keep-aliveaction=airinblog-action-loadmore-home
确认是否进入airinblog_fun_loadmore_post_grid
成功进入反序列化入口。
原文始发于微信公众号(fraud安全):DMC Airin Blog Plugin 反序列化 CVE-2024-52413分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论