wordpress评论插件wpDiscuz(7.04版本)上传漏洞

少羽.
少羽.
少羽.
1970
文章
92
评论
2020年8月20日17:40:57 3 422 1832字阅读6分6秒

环境

  • php 5.6.40
  • mysql 5.7.26
  • Phpstorm
  • WordPress 5.4.1 + wpdiscuz V 7.0.3

分析

1.环境搭建后,手动安装wpdiscuz插件后,看到文章下增加评论模块

wordpress评论插件wpDiscuz(7.04版本)上传漏洞

2.phpstorm导入web目录,点击图片按钮,上传一个php文件测试一下,上传路径是http://127.0.0.1:8888/wordpress/wp-admin/admin-ajax.php,默认是上传不了的。

wordpress评论插件wpDiscuz(7.04版本)上传漏洞

3.从入口点分析,如图是wp_filter的action过滤wordpress评论插件wpDiscuz(7.04版本)上传漏洞

4.跟进去,可以看到上传的功能点,再进去wordpress评论插件wpDiscuz(7.04版本)上传漏洞

5.可以看到如图位置,使用getMimeType方法根据文件内容获取文件类型,并不是通过文件后缀名判断,进一步根据$mineType判断是否是允许的上传类型。wordpress评论插件wpDiscuz(7.04版本)上传漏洞

6.跟入查看isAllowedFileType方法,在判斷$mineType是否在$this -> options -> content["wmuMimeTypes"]中存在。wordpress评论插件wpDiscuz(7.04版本)上传漏洞

7.如图,进入$options中,可以content["wmuMimeTypes"]使用三目运算判断,搜索上下文得知,结果就是$defaultOptions[self::TAB_CONTENT]["wmuMimeTypes"]wordpress评论插件wpDiscuz(7.04版本)上传漏洞

8.进入$defaultOptions中可以得到最终$this -> options -> content["wmuMimeTypes"]的值是几种常见的图片类型。wordpress评论插件wpDiscuz(7.04版本)上传漏洞wordpress评论插件wpDiscuz(7.04版本)上传漏洞

9.很明显此时文件类型已经通过getMimeType()方法修改为text/plain了,但是回到进入isAllowedFileType的代码,发现程序只在此处对上传文件进行了判断后,直接保存了文件。wordpress评论插件wpDiscuz(7.04版本)上传漏洞

利用

如此,程序只是根据文件内容判断文件类型,并未对文件后缀进行效验,构造一个图片马,或者手动在webshell前面加上图片头信息即可绕过。

1.把后门文件追加到图片后wordpress评论插件wpDiscuz(7.04版本)上传漏洞wordpress评论插件wpDiscuz(7.04版本)上传漏洞

2.上传并修改后缀名为php,可以看到返回路径wordpress评论插件wpDiscuz(7.04版本)上传漏洞

3.连接webshellwordpress评论插件wpDiscuz(7.04版本)上传漏洞

检测

在装上wpdiscuz插件后,每个文章中都会带有如下标签信息,且带有版本号,可利用此特征编写脚本或者御风插件。wordpress评论插件wpDiscuz(7.04版本)上传漏洞

简单的检测脚本,exp功能删除了

此处为隐藏的内容!
发表评论并刷新,方可查看
少羽.
  • 本文由 发表于 2020年8月20日17:40:57
  • 除非特殊声明,本站文章均为原创,转载请务必保留本文链接
导航网站自动收录漏洞-劫持漏洞 漏洞分析

导航网站自动收录漏洞-劫持漏洞

我想搞个导航网站来着,看着自动收录的网站然后就发现了很多导航网站有这个bug BUG后果:可以在网站上上传任意js html代码,会被劫持,跳转等等。 BUG原因: 大家看图,只要我在我的网站上面,做...
广告也精彩
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

评论:3   其中:访客  3   博主  0
    • POC POC 0

      啊啊
      POC
      POC
      POC

      • 星落. 星落. 3

        评论看看

        • 66avvv免翻墙 66avvv免翻墙 1

          666+henq强