wordpress后台CSRF不严,管理员访问某些链接可拿shell

漏洞概要

缺陷编号:WooYun-2013-020878

漏洞标题:wordpress后台CSRF不严,管理员访问某些链接可拿shell

相关厂商:wordpress

漏洞作者:小贱人

提交时间:2013-03-29 12:43

公开时间:2013-06-27 12:44

漏洞类型:CSRF

危害等级:中

自评Rank:5

漏洞状态:未联系到厂商或者厂商积极忽略

Tags标签:

漏洞详情

披露状态:

2013-03-29: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-06-27: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

wordpress3.5.1后台修改主题模版处防CSRF不严,前台评论可加入超链接,可写上诱惑性东西 骗取管理员点击后写入一句话木马

详细说明:

进入后台-外观-编辑。选择编辑Twenty Twelve主题下的404.php文件。将原内容去掉,换成一句话木马,同时打开抓包工具。

更新后抓到包

由于本地演示,用AJAX进行CSRF攻击。编写localhost/wp.html文件。内容为

将被修改的404.PHP恢复,并且在前台评论写入<a href="http://localhost/wp.html">管理员,有一篇文章也讲到了这个问题管理员登录后台查看评论。点击链接后Twenty Twelve主题下的404.php已被成功修改为一句话木马

访问一句话木马

攻击成功,AJAX仅为演示,实战中可用JS控制表单自动提交来实现跨域传输数据。

漏洞证明:

管理员点击相关链接后,成功在404页面写入一句话木马 并访问成功

AJAX仅为本地测试用,实战中可在恶意页面中用JS控制表单自动提交。

修复方案:

你们比我懂

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:4 (WooYun评价)

评价

  1. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    wordpress有token的吧

  2. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @xsser 不过利用那个swf的xss倒是可以一搞

  3. 2010-01-01 00:00 Rookie 白帽子 | Rank:241 漏洞数:48)

    @xsser 自问自答 真的很强

  4. 2010-01-01 00:00 瘦蛟舞 白帽子 | Rank:634 漏洞数:67)

    @痩蛟舞 我也at下自己看

  5. 2010-01-01 00:00 saline 白帽子 | Rank:204 漏洞数:22)

    @saline 表示关注

  6. 2010-01-01 00:00 空城 白帽子 | Rank:91 漏洞数:11)

    @小贱人 @xsser 那个token怎么bypass?

  7. 2010-01-01 00:00 小贱人 白帽子 | Rank:4 漏洞数:3)

    第一个测试的CSRF是添加管理员用户,但发现了不可预测的token.每次重启服务器token都会变化,但重启前无论管理员登录登出TOKEN都相同。第二个测试的CSRF是修改模版。写好POC后发现服务器重启多少次后POC都有效,于是以为CSRF可用,上报乌云。收到xsser的邮件后,重新安装了WORDPRESS。发现POC无法用。诡异的WORDPRESS。在此说明,以避骗token之嫌

  8. 2010-01-01 00:00 小贱人 白帽子 | Rank:4 漏洞数:3)

    说错 是骗rank之嫌

  9. 2010-01-01 00:00 Drizzle.Risk 白帽子 | Rank:220 漏洞数:19)

    关注..

  10. 2010-01-01 00:00 夜 白帽子 | Rank:0 漏洞数:0)

    你那写一句话也太麻烦了吧!