wordpress漏洞_WordPress XSS漏洞可能导致远程执行代码(RCE)

原作者: Ziyahan Albeniz

在2019年3月13日,专注于静态代码分析软件的RIPS科技公司发布了他们在所有版本的WordPress 5.1.1中发现的跨站点脚本(XSS)漏洞的详细信息。该漏洞已在不同类别的各种网站上公布。有些人将其归类为跨站点请求伪造(CSRF)漏洞,而其他人则将其正确归类为XSS。在本文中,我们将分析此WordPress XSS漏洞(编号为CVE-2019-9887),该漏洞导致远程执行代码(RCE)漏洞。

b478ffbe98f6e1fa148940fa0adc0c71.png

WordPress的Pingback和Trackback功能

在WordPress中,nonce需要一个值来防止CSRF攻击。这是一个随机值,在每个请求中都会更改,并且只有服务器和用户的浏览器才知道。但是,nonce自2009年以来,WordPress中的评论部分没有使用过值。这是因为WordPress开发人员做出了两个设计决策,限制了安全令牌的正确实现以防止CSRF攻击。

WordPress中的pingback和trackback功能要求缺少nonce值才能正常运行:

  • pingback功能通知博客他们的文章已从某人的帖子链接。这增加了在其搜索引擎优化中使用反向链接方法在任何搜索引擎上的网站评级。
  • 当博主链接到不是使用WordPress构建的网站时,会使用引用功能。

WordPress中评论的过滤

当攻击者设法重定向经过身份验证的WordPress管理员用户以访问攻击者控制的网站时,他们可以代表此管理员用户提交表单,以便在用户名称的博客上发布评论。除了WordPress开发人员之外,任何人都认为这将是一个严重的漏洞。但是,如果要避免破坏pingback,则行为是绝对必要的。

为了最小化表单提交代表管理员的影响,他们实现了一般不会阻止CSRF的nonce。如果设置了正确的现时(如果管理员使用实际表单发布评论),则评论中的HTML代码不会像表单提交是CSRF的结果那样严格过滤。

因此,如果管理员帐户发出的评论请求中没有nonce令牌,WordPress会使用nonce值'_wp_unfiltered_html_comment_disabled'来检查是否应该从HTML标签中清除评论。

分析WordPress的有缺陷的过滤机制

RIPS Technologies的一名工程师在静态代码分析期间发现了/wp-includes/comment.php文件中检测和清理机制的缺陷。这是与缺陷相关的代码块。

if ( current_user_can( 'unfiltered_html' ) ) { if (! wp_verify_nonce( $_POST['_wp_unfiltered_html_comment'], 'unfiltered-html-comment' )) { $_POST['comment'] = wp_filter_post_kses($_POST['comment']); }}else { $_POST['comment'] = wp_filter_kses($_POST['comment']);}

根据代码,如果当前用户没有权限unfiltered_html,则注释文本wp_filter_kses将从其中的HTML元素定向到要清理的函数。

由于攻击请求将通过登录管理员帐户的浏览器发送,并且管理员帐户具有权限unfiltered_html,因此代码的缺陷从第一个if语句开始。

在第一个条件语句中,如果未验证nonce令牌,则注释文本将通过一个名为的另一个函数wp_filter_post_kses来清理输入。

职能部门之间的主要区别wp_filter_kses,并wp_filter_post_kses是wp_filter_kses删除所有的意见,除了基本的HTML标签,如href属性和锚标记。该wp_filter_post_kses函数清理所有潜在风险的HTML标记,但它比wp_filter_kses函数更宽松。

使用HTML标签绕过清理

RIPS科技公司的工程师发现,HTML元素和属性的清理过程存在一个重大缺陷。一旦评论被清理,属于标签的属性通过将它们解析为关联数组而针对SEO目的进行优化。

例如,如果带有标记的属性是href="#" rel="nofollow",则字符串将被解析为一个数组,其中每个属性名称都是键:

function wp_rel_nofollow_callback( $matches ) { $text = $matches[1]; $atts = shortcode_parse_atts($matches[1]); ⋮

完成此转换后,您可以使用以下方式访问href锚标记的功能$atts["href"]。接下来,WordPress检查注释中的锚标记是否具有该rel属性。

重要的是要注意,rel锚元素中的属性只有在评论者拥有管理员帐户时才能存在。该wp_filter_kses函数不允许此属性; 该wp_filter_post_kses函数的作用。

 if (!empty($atts['rel'])) { // the processing of the 'rel' attribute happens here ⋮ $text = ''; foreach ($atts as $name => $value) { $text .= $name . '="' . $value . '" '; } } return '';}

使用WordPress漏洞插入XSS Payload

如上面以粗体显示的代码行所示,连接的字符串值不会以任何方式进行清理。如果攻击者将以下title属性添加到注释中的锚标记,则可能会滥用此功能的性质。

 onmouseover=alert(1) id="'

处理后代码行将变为以下内容(注意双引号):

希望利用此漏洞的恶意用户必须欺骗具有管理员权限的用户访问将触发和执行有效负载的页面。

此时发送具有XSS有效负载的注释请求。

为了进行秘密攻击,并在提交表单时避免顶级导航,表单的响应将定向到具有display:nonetarget属性中指定的样式的隐藏iframe 。

最后,管理员浏览器将查看带有XSS有效负载评论的博客文章,以确保攻击完成。执行攻击后,将通过管理面板编辑模板文件。然后,攻击者可以执行PHP代码注入并将此XSS攻击转换为远程执行代码(RCE)。

修复WordPress中的漏洞

如果您使用WordPress,解决此问题的最快速最简单的方法是更新到修复漏洞的5.1.1版。

此外,Netsparker报告任何使用过时WordPress版本的扫描网站,并显示当前版本的相关漏洞。这是一个这样的报告的例子。

6e80cdb3a9986ba3eaf93271fb188ecc.png

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/260126.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

centOS 6环境下安装R-3.3.2及Rstudio-server

【编译R语言】 1、下载安装R语言 # 下载R-3.3.2 $ wget https://cran.r-project.org/src/base/R-3/R-3.3.2.tar.gz# 安装R-3.3.2 $ tar -zxvf R-3.3.2.tar.gz $ cd R-3.3.2# 安装到默认目录下 --perfix/opt/R 或 /usr/local/lib64/R $ ./configure --prefix/opt/R --with-re…

DJ轮回舞曲网下载教程

该网站网址为:http://www.92cc.com/ 昨天有网友问我这个网站能不能下载。我告诉他,只要能在线试听的就能下载 于是今天出个临时教程 教大家如何获取试听的音乐URL。 第一步找到试听的网址,如: http://www.92cc.com/p97206.html 第…

【DP】【Asia - Harbin - 2010/2011】【Permutation Counting】

【题目描述】Given a permutation a1, a2,...aN of {1, 2,..., N}, we define its E-value as the amount of elements where ai > i. For example, the E-value of permutation {1, 3, 2, 4} is 1, while the E-value of {4, 3, 2, 1} is 2. You are requested to find h…

三丰三坐标编程基本步骤_三丰三坐标CRYSTA APEX S776

日本三丰MITUTOYO从1934年成立至今,专力致于精密测量仪器的研发和生产,在七十多年中,日本三丰量具MITUTOYO已成为世界最大综合测量仪器的制造商,它生产的产品包括千分尺,卡尺,千分表,高度尺&…

oracle的文件后缀名,转:数据文件的扩展名是ora,dbf,dat的,有什么区别?

只是通过扩展名来标识文件的类型而已,对于数据文件不管是ora/dat/dbf,都是一样的,没有什么区别。.dbf-数据文件, .tmp-临时文件,.log-重作日志文件(redo log file), .ctl-控制文件.ora-参数文件&#xff0c…

Unity3D研究院之Android同步方法读取streamingAssets

版本Unity5.3.3 Android 小米pad1 首先非常感谢 守着阳光 同学在下面的留言。让我解决了一个大的谜团。。 开始我知道 StreamingAssets 路径是这个 path “jar:file://” Application.dataPath “!/assets/”; 文档在这里: http://docs.unity3d.com/Manual/Strea…

Codeforces Round 261 Div.2 D Pashmak and Parmida's problem --树状数组

题意:给出数组A,定义f(l,r,x)为A[]的下标l到r之间,等于x的元素数。i和j符合f(1,i,a[i])>f(j,n,a[j]),求有多少对这样的(i,j). 解法:分别从左到右,由右到左预处理到某个下标为止有多少个数等于该下标&…

JQuery AJAX提交中文乱码的解决方案

$.post(doSearch.action, {page : page,vip : vip,searchType : searchType,subtype : subtype,type : type,contentType: "application/x-www-form-urlencoded; charsetutf-8", keyword : keyword}, function(data) //回传函数{var val;}); 解决这个中文乱码问题&am…

列举ospf的5种报文类型_危险品货物各种包装类型以及装箱技巧

对于危险货物来说,其危险性的大小除与货物的本身性质有关外,还与货物的包装方式密切相关。因而,危险货物进箱条件的确定,也必须考虑到货物的包装方法。一、集装箱内径20GP内径:长5.8M*宽2.34M*高2.34M40GP内径&#xf…

linux一行多个命令行,如何在一行中运行多个Linux命令

对于每个Linux管理员来说,熟练使用各种命令行是他们的特性。但对于普通用户来说,可能还是有难度,您需要继续练习Linux命令,并找到使该任务更有效的方法。实现这个特定目标的一种方法是学习一些技巧,这些技巧可以提高发…

Java 数组基础

数组 数组(Array):相同类型数据的集合。 定义数组 方式1(推荐,更能表明数组类型) type[] 变量名 new type[数组中元素的个数]; 比如: int[] a new int[10]; 数组名,也即引用a&…

车辆跟驰模型matlab代码实现_MATLAB——考虑驾驶员特性及前车速度的快速路模型...

重发一下之前误删的一篇~目前大多数元胞自动机模型并没有考虑前车速度,大多数同向行驶的模型中车辆都是处在一个完全跟车的状态,无论前车是加速还是减速,后车驾驶者都只是根据自己的车速判断是减速跟驰还是变换车道来寻求寻求更合理的行驶状态…

linux nc命令

参考 :http://www.linuxso.com/command/nc.html NC 全名 Netcat (网络刀),作者是 Hobbit && ChrisWysopal。因其功能十分强大,体积小巧而出名,又被大家称为“瑞士军刀”。nc - TCP/IP swiss army knife nc 常用于溢出、反向链接、上传…

收藏一些自己认为好的网站或博客

月光博客 seo每天一贴 虎嗅网 李岩的博客 中邮阅读网,专门看电子期刊的,很不错的免费阅读期刊网。 seay web安全技术博客: http://www.cnseay.com 陆陆续续编辑中... 转载于:https://www.cnblogs.com/caoyuanzhanlang/archive/2013/01/05/2846086.html

shell 判断字符串相等_编程小短文:Bash子字符串还在用==?试试=~性能瞬间飙升100倍...

引言Bash 是 Linux 系统下钦定的 shell。你可以通过cat /etc/shells查看当前系统支持的 shell 种类。Bash 不但是系统管理员与内核交互的利器,且是一种语言,可以编写大多数系统的自动化脚本,用于简化运维工作。今天我们学习一个知识点&#x…

linux系统联网命令,Linux系统常用的网络命令及使用方法

Linux系统常用的网络命令及使用方法Linux是一套免费使用和自由传播的类Unix操作系统,是一个基于POSIX和UNIX的多用户、多任务、支持多线程和多CPU的操作系统。下面小编整理了Linux系统常用的网络命令及使用方法,希望对大家有帮助!1、pingping命令工作在O…

Xss Csrf 简介

一、Js在web的执行环境 1.直接触发 •在HTML页中插入<script></script>脚本标记。JS嵌入到HTML中的两种方式&#xff1a; •1&#xff09;直接嵌入<script>标签 <script language“javascript”> document.write(“hello world!”); </script> •…

Cracking the Coding Interview 5.2

Given a(decimal -e.g. 3.72)number that is passed in as a string, print the binary representation. If the number can not be represented accurately in binary, print "ERROR" 整数部分&#xff1a; 对2取余&#xff0c;然后向右移动一位&#xff0c;重复直到…

python的render函数_带函数return的Flask render_模板

TL&#xff1b;DR在这种情况下&#xff0c;我想我会选择使用我现在的4个选项我将介绍4种选择&#xff0c;其中一些可能比其他更可行。在如果您担心execute表示的代码存在代码重复(DRY)&#xff0c;您可以简单地定义一个两个路由都可以调用的函数&#xff1a;def execute():# ex…

Google开源Leak Finder——用于检测内存泄漏的JavaScript工具

近日&#xff0c;Google开源了Leak Finder&#xff0c;这款工具可以查看JavaScript应用的堆&#xff0c;进而发现内存泄漏。 作为一门垃圾收集语言&#xff0c;JavaScript并不会出现常见的内存泄露情况&#xff0c;特别是像C等语言中所见到的那种。但如果依旧将内存分配给那些不…