DMC Airin Blog Plugin 反序列化 CVE-2024-52413分析
漏洞文件定位
根据漏洞通告提示问题点在反序列化
全局查找反序列化关键字
漏洞分析
构造反序列化payload通过POST请求query参数直接获取
反向追踪,发现airinblog_fun_loadmore_post_cat和airinblog_fun_loadmore_cat_home方法都可以进入airinblog_fun_loadmore_post_grid
那么思路就比较简单了,post请求携带query参数,即可触发反序列化。
但是在调试的过程中get_theme_mod( 'airinblog_cus_pagination_variant', 'v1' )值为v1
推测可能是需要购买Premium版才能出发漏洞
ps:个人也不是很熟悉这个模块,如果推测错误,请各位大佬吾喷,谢谢
那么修改代码将v2修改为v1测试反序列漏洞
要想触发airinblog_fun_loadmore_post_cat或airinblog_fun_loadmore_cat_home方法需要使用使用ajax请求
在if里进行标记,查看是否进入if结构体里
成功进入if结构体
进入airinblog_fun_loadmore_post_cat_home函数
POST /wp-admin/admin-ajax.php HTTP/1.1
Host: wp.com
Content-Length: 141
X-Requested-With: XMLHttpRequest
Accept-Language: zh-CN,zh;q=0.9
Accept: */*
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/130.0.6723.70 Safari/537.36
Origin: http://wp.com
Referer: http://wp.com/wp-admin/upload.php
Accept-Encoding: gzip, deflate, br
Cookie: wordpress_b984edcdfe562d3f512e5f50c1f1a1ed=admin%7C1732418882%7CTQMb4GgXWtRQqcNRfd0yLyi9uf5nEg8eZIZiVBl7Sgs%7C7e87af5a8e1eca5fb4201230f2207d330cf7299f2990c9a943d39c1e781bfe51; wordpress_test_cookie=WP+Cookie+check; wordpress_logged_in_b984edcdfe562d3f512e5f50c1f1a1ed=admin%7C1732418882%7CTQMb4GgXWtRQqcNRfd0yLyi9uf5nEg8eZIZiVBl7Sgs%7C05dfbc76448616f26f820afed6d5a4285441febaca46c3c951c825f03a9462e1; wp-settings-time-1=1732248671
Connection: keep-alive
action=airinblog-action-loadmore-home
确认是否进入airinblog_fun_loadmore_post_grid
成功进入反序列化入口。
结束语:
在分析这个漏洞的时候一直卡在get_theme_mod( 'airinblog_cus_pagination_variant', 'v1' )处,走了很多弯路但最终也没有成功,所以分析的也不完善,还请见谅。
为什么不适用debug:写这篇文章的时候是在去比赛的高铁上,带的电脑不是专门用于分析的就没有配置xdehug,只能使用标记的方式来说明代码的走向。
转载
分享
0 条评论
可输入 255 字
发布投稿
