mysql 帐户枚举漏洞_Wordpress < 4.7.1用户名枚举漏洞分析(CVE-2017-5487) | 绿盟科技技术博客...

最新推荐文章于 2024-06-18 00:11:14 发布
最新推荐文章于 2024-06-18 00:11:14 发布
阅读量1.9k 收藏 1
点赞数
文章标签: mysql 帐户枚举漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35823441/article/details/113325984
版权
本文介绍了WordPress 4.7.0版本中的REST API越权漏洞,允许攻击者绕过权限检查获取用户信息。该漏洞可通过调用REST API接口进行利用,影响WordPress 4.7.0版本。文章详细分析了漏洞的成因、利用过程,并提供了修复建议。
摘要由CSDN通过智能技术生成

阅读:

4,380

WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统来使用。

WordPress 在4.7.0版本之后将REST API插件集成到默认功能之中。REST API为WordPress的使用者提供了一个方便快捷的管理接口。在WordPress 4.7.0版本中,存在着一个越权漏洞,成功的利用这个漏洞,可以绕过管理员权限查看wordpress上所有发布过文章的用户信息列表。

影响版本

WordPress 4.7.0

漏洞分析

在正式的漏洞分析开始前,先来简单介绍下REST API的使用。官网给出的介绍如下:

8e3b2fb07a33dc8ff2c63ddb38ba65b5.png

具体使用详情请参照REST API Handbook

漏洞利用

先从exploitdb上面提供的poc入手

https://www.exploit-db.com/exploits/41497/

9dd6fc316167c1bad9a78baa511fffee.png

POC看起来比较简单,就是调用了wordpress的rest api接口进行users查询,但是在笔者的环境中,需要对这个poc进行一点小改动,如下图,需要加上一个index.php,否则找不到目录。

87ccb60010c3935ccde415492e23b69b.png

接下来看一下代码, 请求首先进入get_items_permissions_check模块进行权限检查/**

* Permissions check for getting all users.

*

* @since 4.7.0

* @access public

*

* @param WP_REST_Request $request Full details about the request.

* @return true|WP_Error True if the request has read access, otherwise WP_Error object.

*/

public function get_items_permissions_check( $request ) {

// Check if roles is specified in GET request and if user can list users.

if ( ! empty( $request['roles'] ) && ! current_user_can( 'list_users' ) ) {

return new WP_Error( 'rest_user_cannot_view', __( 'Sorry, you are not allowed to filter users by role.' ), array( 'status' => rest_authorization_required_code() ) );

}

if ( 'edit' === $request['context'] && ! current_user_can( 'list_users' ) ) {

return new WP_Error( 'rest_forbidden_context', __( 'Sorry, you are not allowed to list users.' ), array( 'status' => rest_authorization_required_code() ) );

}

if ( in_array( $request['orderby'], array( 'email', 'registered_date' ), true ) && ! current_user_can( 'list_users' ) ) {

return new WP_Error( 'rest_forbidden_orderby', __( 'Sorry, you are not allowed to order users by this parameter.' ), array( 'status' => rest_authorization_required_code() ) );

}

return true;

}

看上面的注释可以大概了解这个函数的功能:当请求users参数时,用来检查请求是否有读的权限,否则爆出WP_Error错误。

这个函数一共有三个if判断,这三个if判断都是由两部分组成的,每一个后半部分都是不可控的current_user_can( ‘list_users’ ),经测试,它的值还为false,所以只能使三个if得可控的前半部分不为真,才能最终绕过判定。

我们var_dump下这三个$request值

fcfa4fe1ee43aaa9e40a43ed0589f5f6.png

有意思的事情发生了,我们什么事情也没做,竟然完美的避开了权限检查的三个判定,接下来进入下个环节get_items函数,检索所有的用户。/**

* Retrieves all users.

*

* @since 4.7.0

* @access public

*

* @param WP_REST_Request $request Full details about the request.

* @return WP_REST_Response|WP_Error Response object on success, or WP_Error object on failure.

*/

public function get_items( $request ) {

。。。。。。。。。

/**

* Filters WP_User_Query arguments when querying users via the REST API.

*

* @link https://developer.wordpress.org/reference/classes/wp_user_query/

*

* @since 4.7.0

*

* @param array $prepared_args Array of arguments for WP_User_Query.

* @param WP_REST_Request $request The current request.

*/

$prepared_args = apply_filters( 'rest_user_query', $prepared_args, $request );

$query = new WP_User_Query( $prepared_args );

$users = array();

foreach ( $query->results as $user ) {

$data = $this->prepare_item_for_response( $user, $request );

$users[] = $this->prepare_response_for_collection( $data );

}

$response = rest_ensure_response( $users );

。。。。。。。。。。。

上面代码省略了些内容,前半部分省略的是一些相关的参数配置,然后读到注释部分了解到下面参数经过过滤,就要进入WP_User_Query()部分了,我们通过给出的链接看一下查询部分的WP_User_Query()是怎么解释的

e89875fbc3f3b497b7b89bd55062dfff.png

在跟进WP_User_Query中我们可以看到一个构造方法

66723880e00f7ddd08ffe504a1772035.png

在这里可以看到如果$query不为空,则先调用prepare_query(),接着再执行$this->query()

我们看一下prepare_query()是做什么的。

8fac01c20724a607ddcfb5b86f410e65.png

看注释可以了解到,它是准备查询变量的作用,可以看做是对变量的预处理。

接下来往后看$this->query();。跟进query()函数看看它最终执行了什么。/**

* Execute the query, with the current variables.

*

* @since 3.1.0

*

* @global wpdb $wpdb WordPress database abstraction object.

*/

public function query() {

global $wpdb;

$qv =& $this->query_vars;

$this->request = "SELECT $this->query_fields $this->query_from $this->query_where $this->query_orderby $this->query_limit";

if ( is_array( $qv['fields'] ) || 'all' == $qv['fields'] ) {

$this->results = $wpdb->get_results( $this->request );

} else {

$this->results = $wpdb->get_col( $this->request );

}

query()函数使用当前变量来执行查询,下面$this->request构造了一个sql查询语句,我们查看下它的值SELECT SQL_CALC_FOUND_ROWS wp_users.* FROM wp_users WHERE 1=1 AND wp_users.ID IN ( SELECT DISTINCT wp_posts.post_author FROM wp_posts WHERE wp_posts.post_status = 'publish' AND wp_posts.post_type IN ( 'post', 'page', 'attachment' ) ) ORDER BY display_name ASC LIMIT 0, 10

可以看出这里可以查询的wp_users信息是有约束条件的,这里可以查询的用户必须满足发表过‘publish’类型的文章,并且类型还要是‘post’、‘page’、‘attachment’中的一个

我们分别看一下wp_users表和wp_posts表

8b89d5cb82a01f4ac65eef9754f0c574.png

wp_posts表

887f0235fe18f183c75239b12948cef1.png

wp_users表

最终通过api返回的用户信息

0afe67e49b62c8c3ba75e125d8aab47b.png

修补防御

升级wordpress至最新版本。

如果您需要了解更多内容,可以

加入QQ群:570982169

直接询问:010-68438880

王佛伟
关注
[CVE-2017-5487] WordPress <=4.7.1 REST API 内容注入漏洞分析与复现
weixin_30251829的博客
06-11 1046
记录下自己的复现思路 漏洞影响: 未授权获取发布过文章的其他用户的用户名、id 触发前提:wordpress配置REST API 影响版本:<= 4.7 0x01漏洞复现 复现环境: 1)Apache2.4 2)PHP 7.0 3)wordPress 4.7.1 https://wordpress.org/wordpress-4....
wordpress rest api 漏洞又来了CVE-2017-5487 上次是修改文章内容这次可是泄露用户数据...
weixin_34209851的博客
09-01 2007
在2月份的时候,wordpress rest api 曾经爆出过越权漏洞,结果是黑客可以修改文章内容。3月3日,REST API又出现了越权漏洞,成功的利用这个漏洞,可以绕过管理员权限泄露用户数据。 CVE-2017-5487影响范围 影响版本WordPress 4.7.0,目前poc已经在exploitdb上公开 https://www.expl...
Web安全基础学习:暴力破解漏洞用户名枚举
最新发布
qq_51862722的博客
06-18 759
用户名枚举漏洞学习:在应用系统登录的过程中,当输入错误的用户名信息时,应用程序将反馈相应的诸如“用户不存在”的错误提示,攻击者可通过该提示为依据对用户名进行枚举,猜解出已存在于应用系统的用户名信息,最终攻击者再对已有用户的密码进一步猜解,从而降低暴力破解的成本。
漏洞解决:用户名枚举
WNM的博客
09-13 4950
用户名枚举漏洞
wordpress4.9漏洞
小小猪的博客
12-01 8218
漏洞介绍: WordPress可以说是当今最受欢迎的(我想说没有之一)基于PHP的开源CMS,其目前的全球用户高达数百万,并拥有超过4600万次的超高下载量。它是一个开源的系统,其次它的功能也十分强大。也正因为此,WordPress也成了众多黑客的攻击目标,一旦得手也就意味着数百万用户的沦陷。这种广泛的采用使其成为网络犯罪分子的一个有趣目标。这次实验的漏洞是在WordPress核心中的一个经过身份验证的任意文件删除漏洞CVE-2018-20714 该漏洞可能导致攻击者执行任意代码。该漏洞自发现到报告给W
用户名枚举漏洞
LuckySec
12-20 3918
在应用系统登录的过程中,当输入错误的用户名信息时,应用程序将反馈相应的诸如“用户不存在”的错误提示,攻击者可通过该提示为依据对用户名进行枚举,猜解出已存在于应用系统的用户名信息,最终攻击者再对已有用户的密码进一步猜解,从而降低暴力破解的成本。当输入不存在的用户名时,系统提示“登录失败,不存在用户名!综上,根据返回信息的不同可不断枚举出系统存在的用户名信息。当输入存在的用户名时,系统提示“登录失败,密码错误!输入任意账号密码尝试登录。
WordPress漏洞————4.7.0——4.7.1内容注入漏洞分析
Fly_鹏程万里
03-30 3695
一、获取user 1.影响:未授权获取发布过文章的其他用户的用户名、id 2.触发前提: wordpress配置REST API 3.影响版本:&lt;= 4.7 4.漏洞说明: Get请求什么都不用做就可以避开wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php 的逻辑判断,返回ture,程序继续执行query,RES...
修复wordpress安全漏洞
zhangjipinggom的博客
02-04 822
wordpress建了一个网站,但是学校反映说存在安全漏洞,通过接口https://xxx.xxx.edu.cn/?rest_route=/wp/v2/users/可以访问到一些内容,希望可以关闭这个接口。(因为我安装wp的时候是基于apache去配置的,修改的是.htaccess这个文件,如果你是基于Nginx的话,需要修改的是Nginx对应的文件)(这个文件在你安装的wordpress路径下,比如我的在/var/www/html/.htaccess)修改后在这个接口下就返回不了啥有效信息了。
veins-4.7.1_sumo仿真_veins-4.7.1.zip_
10-02
《车联网仿真:veins-4.7.1与SUMO的深度整合》 在现代智能交通系统中,车联网(Vehicular Ad-hoc Networks, VANETs)扮演着至关重要的角色,它允许车辆之间以及车辆与基础设施之间的实时通信,提高了交通安全、效率...
spring-tool-suite-4-4.7.1.RELEASE-e4.16.0-win32.win32.x86_64.zip
08-03
版本号4.7.1.RELEASE表明这是该工具套件的一个稳定版本,e4.16.0指的是Eclipse平台的基础版本。"win32.win32.x86_64"说明这个版本是为Windows 32位操作系统上的64位处理器设计的。 Spring Tool Suite 4 提供了以下...
mod_wsgi-4.7.1+ap24vc15-cp37-cp37m-win_amd64.whl
06-21
python 部署 apache 时,需要的安装包,mod_wsgi-4.7.1+ap24vc15-cp37-cp37m-win_amd64.whl
mod_wsgi-4.7.1+ap24vc15-cp38-cp38-win_amd64.whl
05-13
适用于python3.8的mod_wsgi。
WordPress 4.7.0及4.7.1存在越权漏洞 官方已出补丁 站长们尽快备份后升级吧
weixin_34097242的博客
09-01 405
WordPress 4.7.0-4.7.1版本中,存在着一个越权漏洞,成功的利用这个漏洞,可以绕过管理员权限对文章进行增删改查操作。官方已经发布补丁,请广大站长朋友们尽快备份后升级。 WordPress 4.7.1越权漏洞 WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把...
E047-论坛漏洞分析及利用-针对Wordpress论坛进行信息收集与漏洞扫描的探索
轻舟已过万重山
10-15 413
E047-论坛漏洞分析及利用-针对Wordpress论坛进行信息收集与漏洞扫描的探索。
实验五 破解wordpress用户名及口令---http安全
橙子的博客
03-26 1835
本实验针对动态网站后台管理员用户及口令进行攻击,需要搭建wordpres个人博客网站。 需要两个虚拟机,Kali虚拟机作为攻击主机,rhel作为wordpress服务器平台(IP:192.168.111.128)。 第一部分:架设wordpress 1、配置基本apache服务。 [root@localhost 桌面]#yum install -y httpd [root@localhost 桌面...
WordPress的管理员用户名是如何泄露的
fmz2222的博客
06-04 1874
WordPress 的管理员账户很容易就能获取,虽然说拿到了管理员账号,用处不是很大,但是不排除有些小白的密码是简单的数字密码。被攻击者爆破或者撞库成功,从而获得后台的管理员账户。那么。攻击者是怎样拿到你的Wordpress 【管理员用户名】的,以及如何保护自己的管理员账户不被获取,这篇文章就来谈谈!!!正在上传…重新上传取消1、先说说管理员账户如何泄露攻击者或者攻击程序构造了: 的URL进行GET,这样99%会返回一串信息,里面包含了你的管理员账户。如下: [{"id":1,"name":"d
登录界面-渗透测试
weixin_30478923的博客
09-02 4388
由图展开思路: 登陆页面的渗透测试   首先在进入登陆界面时,一般都是先用万能密码什么的测下输入框有没有注入(现在很少见了)。如果没有,那就先拿admin,123456什么的测试下弱口令,不求运气爆棚一下就猜到密码。主要是看下回显,查看是否存在账号锁定策略,密码不正确,不存在此用户名等信息,以便于尝试遍历可能存在的用户名。没验证码就上爆破工具,有验证码的话看看能不能绕过,...
vulnhub DC: 6
箭雨镜屋
01-12 649
渗透思路: nmap扫描---->wpscan枚举wordpress用户---->wpscan暴力破解wordpress用户名密码---->利用RCE漏洞getshell---->sudo提权
web渗透测试----11、身份认证漏洞
七天
03-10 5315
文章目录一、什么是身份认证?1、身份认证三要素:2、身份认证和授权的区别:二、身份验证漏洞如何产生?三、身份认证常见的漏洞一、基于密码的登录漏洞1、密码破解2、用户名猜解3、用户名枚举4、目前防止暴力攻击的最常见方法是:二、双因子身份验证中的漏洞1、绕过双因子验证2、双因子验证逻辑错误3、暴力破解2FA验证码三、其他身份验证机制中的漏洞1、保持用户登录状态2、重置用户密码四、身份认证相关漏洞的防御 一、什么是身份认证? 身份认证是验证给定用户或客户端身份的过程。简单理解就是如何让别人相信你就是你。 1、
4.7.1 为练习 4.2.1 的文法 S -> S S + | S S * | a 构造 1.规范 LR 项集族 2.LALR 项集族
06-08
这题其实和之前的题目一样,只是文法不同,我们可以按照相同的步骤来构造规范 LR 项集族和 LALR 项集族。 首先,我们需要构造出这个文法的 LR(0) 项集族: | I | CLOSURE(I) | GOTO(I, X) | |---|-----------|------------| | 0 | {S' -> .S} | | | 1 | {S' -> S., S -> .SS+, S -> .SS*, S -> .a} | | | 2 | {S -> SS.+, S -> SS.*} | | | 3 | {S -> a.} | | 接下来,我们使用 LR(0) 项集族中项目集的核心来构造出规范 LR(1) 项集族。对于这个文法来说,LR(0) 项集族中的每个项目集都是 LR(1) 项集族中的核心,所以我们直接把 LR(0) 项集族中的项目集放入规范 LR(1) 项集族中: | I | CLOSURE(I) | GOTO(I, X) | |---|-----------|------------| | 0 | {S' -> .S} | | | 1 | {S' -> S., S -> .SS+, S -> .SS*, S -> .a} | | | 2 | {S -> SS.+, S -> SS.*} | | | 3 | {S -> a.} | | 现在,我们需要合并一些项目集。对于这个文法来说,项目集 2 和项目集 3 可以合并,因为它们的状态集合相同,且它们的向前看符号也相同,都是 $+$ 或 $*$ 或 $a$。所以,我们把它们合并成一个项目集: | I | CLOSURE(I) | GOTO(I, X) | |---|-----------|------------| | 0 | {S' -> .S} | | | 1 | {S' -> S., S -> .SS+, S -> .SS*, S -> .a} | | | 2 | {S -> SS.+ | SS.* | a.} | | 现在,我们需要构造出这个文法的 LALR(1) 项集族。我们需要检查每个项目集的向前看符号,如果两个项目集状态相同,且它们的向前看符号集合也相同,那么我们就可以合并它们。在这个文法中,所有项目集的向前看符号都是一样的,都是 $+$ 或 $*$ 或 $a$,所以我们不需要合并任何项目集。因此,规范 LR(1) 项集族就是上面构造出来的 LALR(1) 项集族: | I | CLOSURE(I) | GOTO(I, X) | |---|-----------|------------| | 0 | {S' -> .S} | | | 1 | {S' -> S., S -> .SS+, S -> .SS*, S -> .a} | | | 2 | {S -> SS.+ | SS.* | a.} | | 这就是这个文法的规范 LR 项集族和 LALR 项集族。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值