1.前言
WordPress的WP Ultimate CSV Importer插件易受远程代码执行的攻击
2.影响版本
<=7.9.8(所有用户)
其他版本(管理员
3.漏洞信息
此漏洞发生在ImportHelpers.php中的get_header_values函数。
trim_content数组为漏洞触发位置
$header_trim 的作用是用来存储 $map 数组中经过处理后的键名。
在函数中,通过循环遍历 $map 数组,对于每个键名,如果它包含了 ->static,->math,或者 ->cus1 这些字符串,那么就将它从 $map 数组中删除。否则,就使用 strtr() 函数将 $trim_content 数组中的键值对应替换掉键名中的字符串,得到 $header_trim,并将 $map 数组中的该键名和它对应的值存储到 $map 数组中。这样,就可以在后面的处理中使用 $header_trim 代替原始的键名
$trim_content = array(
'->static' => '',
'->math' => '',
'->cus1' => ''
);
此函数为解析csv的关键功能,作者没有详细讨论近一步具体的触发利用
4.环境搭建
使用apache搭建wordpress
这里需要注意的是php+mysql8会出错
在mysql8时,出现了一种新的验证方式caching_sha2_password,这个方式成为了新的验证机制,默认在配置密码的时候也是用的这种方式进行处理的,原有的mysql_native_password被替换掉了。这就是为什么php连不上的原因。
解决方式:
update user set plugin=‘mysql_native_password’ where User=‘root’;
flush PRIVILEGES;
安装WP Ultimate CSV Importer插件,且赋予作者权限
5.漏洞复现
制作一个恶意csv模板文件
注意:由于->字符在csv中会报错,后期上传时需要自己抓包修改
成功触发
6.技术细节
这里我找到两处触发条件,
1.FIFUPOSTS
2.FIFUPAGE
通过set_fifu_values函数传递我们的csv文件的列值
我们来看set_fifu_values函数,set_fifu_values函数调用了我们的csv解析函数
当插件在检测到->static,->math,和 ->cus1时,会替换我们的csv文件,这个时候就会加载我们的恶意csv文件,触发payload
在高级模式Create WP Custom Fields处抓包
这里用的是CORECUSTFIELD,CORECUSTFIELD也是位于set_fifu_values函数下的一个条件,我就把这个给替换成FIFUPOSTS,具体哪里调用FIFUPOSTS师傅们自己可以去找一下。
7.官方修复
官方在最新版本中只是禁用了作者的权限,而管理员仍然是可以上传解析的,所以此漏洞并未完美修复。