2. 程式人生 > 實用技巧 >wordpress外掛wpdiscuz任意檔案上傳漏洞分析

wordpress外掛wpdiscuz任意檔案上傳漏洞分析

阿新 發佈:2020-09-15

下載連結

https://downloads.wordpress.org/plugin/wpdiscuz.7.0.3.zip

測試

環境

  • windows phpstudy
  • phpstorm

解壓外掛到wp-content/plugins目錄下

登入管理員啟用外掛,這時文章下面評論區

上傳帶GIF頭的php檔案

可以看到上傳成功,圖片地址也在回顯中

http://127.0.0.1/wordpress/wp-content/uploads/2020/08/1-1598075857.9448.php

分析

wp-setting.php 將wp_ajax_nopriv_wmuUploadFiles寫入了$wp_filter

foreach ( wp_get_active_and_valid_plugins() as $plugin ) {
   wp_register_plugin_realpath( $plugin );
   include_once $plugin;
   /**
    * Fires once a single activated plugin has loaded.
    *
    * @since 5.1.0
    *
    * @param string $plugin Full path to the plugin's main file.
    */
   do_action( 'plugin_loaded', $plugin );
}

通過表單action引數外掛載入

$action = ( isset( $_REQUEST['action'] ) ) ? $_REQUEST['action'] : '';

wordpress先載入外掛

入口檔案

上傳的關鍵程式碼在wp-content\plugins\wpdiscuz\utils\class.WpdiscuzHelperUpload.php376行

public function uploadFiles() {
……
require_once(ABSPATH . "wp-admin/includes/image.php");
foreach ($files as $file) {
$error = false;
$extension = pathinfo($file["name"], PATHINFO_EXTENSION); //$extension="php"
$mimeType = $this->getMimeType($file, $extension);

檢測檔案mime型別

private function getMimeType($file, $extension) {
    $mimeType = "";
    if (function_exists("mime_content_type")) {
        $mimeType = mime_content_type($file["tmp_name"]); //image/gif
    } elseif (function_exists("finfo_open") && function_exists("finfo_file")) {
        $finfo = finfo_open(FILEINFO_MIME_TYPE);
        $mimeType = finfo_file($finfo, $file["tmp_name"]);
    } elseif ($extension) {
        $matches = wp_check_filetype($file["name"], $this->options->content["wmuMimeTypes"]);
        $mimeType = empty($matches["type"]) ? "" : $matches["type"];
    }
    return $mimeType;
}

繼續跟進

……
if ($this->isAllowedFileType($mimeType)) {
    if (empty($extension)) {   //$extension="php" 沒進入
        ……
     }
    $file["type"] = $mimeType;
} else {
    ……
}
do_action("wpdiscuz_mu_preupload", $file);  //沒什麼用
if (!$error) {
    $attachmentData = $this->uploadSingleFile($file);

isAllowedFileType

private function isAllowedFileType($mimeType) {
    $isAllowed = false;
    if (!empty($this->options->content["wmuMimeTypes"]) && is_array($this->options->content["wmuMimeTypes"])) {
        $isAllowed = in_array($mimeType, $this->options->content["wmuMimeTypes"]);
    }
    return $isAllowed;
}

$this->options->content["wmuMimeTypes"] 內容

在陣列內

$isAllowed=true

上傳操作在

340行 $attachmentData = $this->uploadSingleFile($file);

uploadSingleFile

private function uploadSingleFile($file) {
$currentTime = WpdiscuzHelper::getMicrotime();
$attachmentData = [];
$path = $this->wpUploadsPath . "/";
$fName = $file["name"];
$pathInfo = pathinfo($fName);
$realFileName = $pathInfo["filename"];
$ext = empty($pathInfo["extension"]) ? "" : strtolower($pathInfo["extension"]);
$sanitizedName = sanitize_file_name($realFileName); 
$cleanFileName = $sanitizedName . "-" . $currentTime . "." . $ext;
$cleanRealFileName = $sanitizedName . "." . $ext;
$fileName = $path . $cleanFileName;
if (in_array($ext, ["jpeg", "jpg"])) {
$this->imageFixOrientation($file["tmp_name"]);
}
$success = apply_filters("wpdiscuz_mu_compress_image", false, $file["tmp_name"], $fileName, $q = 60);
if ($success || @move_uploaded_file($file["tmp_name"], $fileName)) {

到這裡已經把檔案上傳了
上傳檔名為原檔名+時間戳+字尾

v7.0.5的改進

isAllowedFileType 對mime的字尾和檔案字尾進行比較

private function isAllowedFileType($mimeType, $extension) {
    $isAllowed = false;
    if (!empty($this->mimeTypes) && is_array($this->mimeTypes)) {
        foreach ($this->mimeTypes as $ext => $mimes) {
            if ($ext === $extension) {
                if ($isAllowed = in_array($mimeType, explode("|", $mimes))) {
                    break;
                }
            }
        }
    }
    return $isAllowed;
}

總結

整個上傳過程只對檔案頭進行檢測,並沒有對檔案字尾進行檢測,導致可以設定一句話木馬內容為

圖片檔案頭+php程式碼

,進行getshell

相關推薦

wordpress外掛wpdiscuz任意檔案漏洞分析

下載連結 https://downloads.wordpress.org/plugin/wpdiscuz.7.0.3.zip 測試 環境 windows phpstudy phpstorm

Tomcat 任意檔案漏洞(CVE-2017-12615)

0x01簡介 2017年9月19日,Apache Tomcat官方確認並修復了兩個高危漏洞漏洞CVE編號:CVE-2017-12615和CVE-2017-12616,其中 遠端程式碼執行漏洞(CVE-2017-12615) 影響: Apache Tomcat 7.0.0 - 7.0.79(7.0.81修復不

(CVE-2018-2894)Weblogic任意檔案漏洞復現

漏洞說明 Oracle 7月更新中,修復了Weblogic Web Service Test Page中一處任意檔案漏洞,Weblogic管理端未授權的兩個頁面存在任意jsp檔案漏洞,進而獲取伺服器許可權。

phpcmsv9.0任意檔案漏洞解析

漏洞存在地址: burp抓包 POST /phpcms_v9.6.0_UTF8/install_package/index.php?m=member&c=index&a=register&siteid=1 HTTP/1.1

致遠OA-ajax.do任意檔案漏洞復現

致遠OA-ajax.do任意檔案上傳漏洞復現: 漏洞出現原因: 致遠OA舊版本中某些介面存在未授權訪問,以及部分函式過濾不足,攻擊者通過構造惡意請求,可在無需登入的情況下上傳惡意指令碼,從而控制伺服器

任意檔案漏洞

一、介紹 原因是伺服器配置不當或者沒有進行足夠的過濾,使用者可以任意檔案,包括惡意指令碼檔案、exe程式等,這就造成了檔案漏洞

CVE-2018-2894 Weblogic 任意檔案漏洞

0X00-引言 甲方就是上帝,唯甲方主義,淦 0X01-環境搭建 靶機:CentOS Linux 7 攻擊機:windows server 2016 && Kail

墨者學院WebShell檔案漏洞分析溯源

** 1.第一題 ** 編寫一句話木馬,然後檔案,改檔案不可,改字尾為php5然後用菜刀連線連線成功開啟html,得到flag**

WEB安全-檔案-WebShell檔案漏洞分析溯源(第1題)

前言 這是檔案的第一篇,SQL注入那邊暫時先放一下,最近剛好看到了檔案部分的知識,趁熱打鐵練練手,連結如下:https://www.mozhe.cn/bug/detail/UjV1cnhrbUxVdmw5VitBdmRyemNDZz09bW96aGUmozhe

Wolf CMS 新舊兩個版本中的檔案漏洞分析

一、Wolfcms簡介 Wolf CMS是一款內容管理系統(CMS),是在GNUGeneral Public License v3下發布的免費軟體。Wolf CMS是由PHP語言編寫,是Frog CMS的一個分支。在2010年Packet Publishing開源專案評獎的“Most Promis

漏洞復現——weblogic任意檔案(cve-2018-2894)

0X01漏洞簡介: Weblogic管理端未授權的兩個頁面存在任意jsp檔案漏洞,進而獲取伺服器許可權。

通達OA任意檔案+檔案包含RCE漏洞復現(附自寫EXP)

一、環境搭建: 下載通達OA的安裝包,根據提示點選下一步安裝即可,安裝完成,訪問本機ip即可

Django實現任意檔案(最簡單的方法)

利用Django實現檔案並且儲存到指定路徑下,其實並不困難,完全不需要用到django的forms,也不需要django的models,就可以實現,下面開始實現。

檔案漏洞fuzz字典生成指令碼小工具分享

前言 學習xss的時候翻閱資料發現了一個檔案漏洞fuzz字典生成指令碼小工具,試了試還不錯,分享一下

檔案漏洞

檔案漏洞是什麼  關鍵字:繞過 檔案是大部分Web應用都具備的功能,例如使用者附件,改頭像,分享圖片等

檔案漏洞繞過

檔案上傳漏洞是使用者上傳了一個可執行的指令碼檔案,並通過此指令碼檔案獲得了執行伺服器端命令的能力。這種攻擊方式是最為直接和有效的,“檔案上傳”本身沒有問題,有問題的是檔案上傳後,伺服器怎麼處

CTF-i春秋-Web-檔案包含漏洞檔案漏洞-Do you know upload?-第三屆“百越杯”福建省高校網路空間安全大賽

2020.09.21 經驗教訓 檔案包含漏洞,想到php://input和php://filter/read=convert.base64-encode/resource=index.php

檔案漏洞:upload-labs(二)

Pass-11 原始碼 $is_upload = false; $msg = null; if(isset($_POST[\'submit\'])){ $ext_arr = array(\'jpg\',\'png\',\'gif\');

Tomcat put檔案漏洞(CVE-2017-12615)

Tomcat put檔案上傳漏洞(CVE-2017-12615) 漏洞描述: 當Tomcat執行在Windows作業系統,且啟用了HTTP PUT請求方法(將 readonly 初始化引數由預設值設定為 false),攻擊者將有可能可通過精心構造的攻擊請求上傳任意

seeyou 致遠OA 任意檔案

訪問:http://xxxx/seeyon/htmlofficeservlet,看到 POC: POST /seeyon/htmlofficeservlet HTTP/1.1 Host: x.x.x.x