

Hu3sky's blog

WordPress5.0 RCE 分析

Hu3sky's blog

WordPress5.0 RCE 分析

Word count: 1,275 / Reading time: 5 min

 2019/02/28   Share

• 
• 
• 
• 
• 

WordPress5.0 RCE

近日，WP爆出了一个RCE的洞，感觉利用链很diao，看了大佬的分析文章，
利用链是
Post Meta变量覆盖->裁剪功能文件上传目录穿越->模板任意文件包含
自己再来分析分析..（不得不说 看大佬的分析都看的头要炸了 膜一波 太强了）

漏洞需求

• 版本号 <= 43bdb0e193955145a5ab1137890bb798bce5f0d2
  https://github.com/WordPress/WordPress/tree/43bdb0e193955145a5ab1137890bb798bce5f0d2

• 需要一个author权限的账号

漏洞分析

变量覆盖

当我们在媒体库上传图片时，图片会保存到wp-content\uploads，并且同时向wp_postmeta数据库中写入_wp_attached_file 和 _wp_attachment_metadata，一个是路径，一个是文件的序列化内容

定位到

文件：wp-admin/post.php：207

跟进edit_post

$post_data变量来自POST的数据
一直往下，第383行，用wp_update_post对$post_data进行了处理。跟进

又进入

跟进wp_insert_attachment

继续跟wp_insert_post

对post来的meta_input数组里的字段进行遍历赋值,这里就涉及到了变量覆盖

在wp_postmeta库中

目录穿越

调用栈为

在

文件：wp-admin/admin-ajax.php

$core_actions_post数组中存在crop-image


根据裁剪的action为crop-image 跟到函数
wp_ajax_crop_image

看到函数check_ajax_referer,对nonce值进行了处理
跟check_ajax_referer再跟到wp_verify_nonce

进行了hash计算
所以我们需要nonce参数和id参数 （原文中并没有说为什么要传入）

定位到裁剪的函数

文件：wp-admin/includes/image.php：25
方法：wp_crop_image

这里的$src是上面传过来的$attachment_id也就是POST的id

当我们通过覆盖_wp_attached_file传入文件名改为
2019/02/1.jpg#/../../../../themes/twentynineteen/hu3sky.jpg
并没有对其过滤等验证处理，于是找不到文件就进到_load_image_to_edit_path
此函数用来将文件路径请求拼接为
{wordpress_path}/wp-content/uploads/xxx.jpg
于是根据这个我们请求的url为
http://127.0.0.1/CMS/WordPress5.0/wp-content/uploads/2019/02/1.jpg#/../../../../themes/twentynineteen/hu3sky.jpg
# 后的当作锚，于是图片可以被请求到

接着生成文件的时候没有对../进行过滤 在wp_mkdir_p时对应的filename和dirname为


于是可以最终调用wp_get_image_editor获取到的图片处理库

跟进load方法
在

文件：wp-includes/class-wp-image-editor-imagick.php：129

public function load() {
		if ( $this->image instanceof Imagick ) {
			return true;
		}

...

		try {
			$this->image    = new Imagick();
...
			$filename       = $this->file;

...
			$this->image->readImage( $filename );

save方法,进行文件的保存

$editor = wp_get_image_editor( $src );
...
$result = $editor->save( $dst_file );

图片马

这里就要考虑到裁剪后的图片马是否依然存在恶意代码
wordpress后端使用的图片处理库有两个，imagick和gd
优先默认用imagick
而Imagick处理图片时不处理EXIF信息，因此可以把恶意代码设置在EXIF部分，经过裁剪后会保留EXIF信息，此时再进行包含就能造成代码执行。

模板任意文件包含

通过设置_wp_page_template，用之前的变量覆盖来设置
但是这里对其作了一些判断

如果传入的page_template的值不等于default，并且不存在该模板，就会把_wp_page_template设置为default
所以我们需要再上传一个文件去设置_wp_page_template
找到加载模板的位置

文件：wp-includes/template.php:634
方法：locate_template

找到调用locate_template的位置
在

文件：wp-includes/template.php
方法：get_query_template

接着找到调用get_query_template的
继续回溯

文件：wp-includes/template-loader.php：47

发现会根据不同的属性 调用不同的加载模板函数
发现在get_page_template和get_single_template
对template调用了函数get_page_template_slug

这里直接从库里取了_wp_page_template,并返回给了$template

再回到

文件：wp-includes/template-loader.php：76

包含了template

总结利用链

1. 通过POST META将_wp_attached_file设置为目录穿越的名字
2. 构造裁剪图片，将裁剪后的图片存到theme目录下
3. 只要我们之前裁剪后的图片依旧存在恶意代码，再到模板调用get_page_template/get_single_template
   之后就包含theme下存在恶意代码的图片，造成RCE

漏洞复现（未成功）

制作好图片马

选择图片上传，编辑图片

添加POST

&meta_input[_wp_attached_file]=2019/02/1.jpg#/../../../../themes/twentynineteen/hu3sky.jpg

裁剪

需要将POST改为

action=crop-image&_ajax_nonce=13f318d006&id=7&cropDetails[x1]=10&cropDetails[y1]=10&cropDetails[width]=10&cropDetails[height]=10&cropDetails[dst_width]=100&cropDetails[dst_height]=100

nonce和id不变，然后用这个替换掉原本的post请求

已经将裁剪的图片保存到了我们构造的目录
themes\twentynineteen 下

接着再上传一个txt文件

编辑并修改POST，添加

&meta_input[_wp_page_template]=cropped-hu3sky.jpg

查看附件

由于Imagick版本一直对不上。没找到Imagick6.9.7的版本。只有6.9.3的 这里没有成功复现 - -

踩的坑

• Imagick版本，说的是高版本不能请求远程图片，但是我当时用的低版本也不能请求，询问了一下畅师傅，暂时固定到版本6.9.7,但是能找到的都是6.9.3的
  测试脚本

$a= new Imagick();
$a->readImage("http://127.0.0.1/CMS/WordPress5.0/wp-content/uploads/2019/02/1.jpg");

emm 暂时先这样吧

原文作者: Hu3sky

原文链接: http://yoursite.com/2019/02/28/wp/

发表日期: February 28th 2019, 10:40:00 am

版权声明: 本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

• Next Post
  三层内网搭建&MSF正反向代理穿透
• Previous Post
  About OAuth2.0

Powered by Hexotheme Archer

本站总访问量次

本站总访问量: :)

CATALOG

1. 1. WordPress5.0 RCE
   1. 1.1. 漏洞需求
   2. 1.2. 漏洞分析
      1. 1.2.1. 变量覆盖
      2. 1.2.2. 目录穿越
         1. 1.2.2.1. 图片马
      3. 1.2.3. 模板任意文件包含
      4. 1.2.4. 总结利用链
   3. 1.3. 漏洞复现（未成功）
   4. 1.4. 踩的坑



• Archive
• Tag
• Cate

Total : 101

2021

• 01/22Oracle补丁日 ：CVE-2020-14756 漏洞利用及补丁分析
• 01/18CVE-2020-17518/17519：Apache Flink 目录遍历漏洞&路由分析
• 01/042020 总结 & 2021 计划

2020

• 12/11浅析 S2-061
• 10/19Websphere 最新版9.0.5.5 反序列化入口挖掘以及XXE构造
• 04/19Orcale 4月补丁日的几个漏洞以及CVE-2020-2801的简单分析
• 04/08CVE-2020-10204/CVE-2020-10199 Nexus Repository Manager3 分析&以及三个类的回显构造
• 03/20weblogic t3 协议利用与防御
• 03/08CVE-2020-2555 漏洞分析
• 03/06JMX-RMI
• 01/06shiro-1.2.4-rememberMe反序列化分析与基于Commons-Collections3.2.1下的payload构造

2019

• 12/20CVE-2018-1270 Remote Code Execution with spring-messaging 分析
• 10/20Joomla 3.4.6 远程代码执行
• 10/16WebLogic-XMLDecoder反序列化分析
• 10/05Fastjson反序列化漏洞以及多版本补丁分析
• 10/02JAVA XXE
• 09/24Thinkphp多个版本注入分析
• 09/20Thinkphp3个版本数据库操作以及底层代码分析
• 09/13java反序列化由浅入深及JNDI注入理解(二)-JAVA Apache-Commons-Collections
• 09/10Ciscn华北赛区Dropbox题解
• 09/08java反序列化由浅入深及JNDI注入理解(一)-Spring反序列化
• 09/062019护网杯esaypy
• 09/04php-fpm&fast-cgi学习
• 08/24java安全漏洞入门之 s2-001
• 08/24java安全漏洞入门之 s2-003&s2-005
• 08/21.user.ini后门
• 08/15laravel5.7-unserialize-RCE
• 08/08De1CTF Ssrfme 详解
• 08/06深入理解浏览器编码
• 05/13bypassUAC_via_comhijacking
• 05/07JavaScript Prototype 污染攻击之 Code-Breaking-TheJS篇
• 05/06JavaScript Prototype 污染攻击之 基础篇
• 04/24内网中的PowerSploit
• 04/23第12届全国大学生信息安全竞赛Web题解
• 04/22DDCTF部分 Write up
• 04/21How To Use Cobalt Strike(备忘录)
• 04/02Content Security Policy&Bypass
• 04/01跨域相关问题
• 03/27Windows安全下的一些网络认证
• 03/21三层内网搭建&MSF正反向代理穿透
• 02/28WordPress5.0 RCE 分析
• 02/22About OAuth2.0
• 02/20Metinfo 6.1.2 SqlInjection
• 02/16初识Redis未授权访问
• 02/15nullcon ctf 部分web
• 02/1435c3-POST 学习
• 02/11Pwnhub Pink friend 学习
• 02/09LCTF-babyphp's revenge
• 02/07HCTF2018 部分Web
• 01/31从两道CTF实例看python格式化字符串漏洞
• 01/29DiscuzX 3.4 前台SSRF
• 01/28齐博CMSv7审计
• 01/28从SCTF看nginx配置问题
• 01/23Code-Breaking Puzzles
• 01/210ctf-ezdoor
• 01/18Tp5.0.0-5.0.23 RCE学习
• 01/11Thinkphp5.* getshell 分析
• 01/11PHPCMS2008_getshell
• 01/0735C3 CTF 部分解题记录（junior）

2018

• 12/25SWPUCTF_WP
• 12/23寒假学习计划
• 10/06destoon前台getshell复现
• 09/12YXCMS 1.4.7
• 09/12YXCMS 1.4.7 - Arbitrary file deletion
• 09/07反序列化之phar://学习
• 09/06ssh后门
• 09/03Git
• 09/01python装饰器
• 08/30hackme CTF 记录
• 08/25php-security-calendar-2017
• 08/25eyoucms前台getshell复现
• 08/23Hooskcms 几个小洞
• 08/18Hack the ch4inrulz of Vulnhub
• 08/18Bugku sql注入2
• 08/07Vulnhub\|Cyberry靶机
• 07/17java学习笔记
• 07/05暑假学习计划
• 07/03Bob 1.0.1
• 06/29浅谈XML实体注入漏洞
• 06/22Vulnhub Bsides靶机
• 06/11Linux
• 06/06超级玛丽靶机渗透测试笔记
• 06/04jarvisoj WP
• 05/25域渗透练习
• 05/23Empire使用总结
• 05/09ctf一道题目。php反序列化学习
• 05/03记一次kali渗透测试靶机
• 04/25[Untitled Post]
• 04/24i春秋WP
• 04/24实验吧WP
• 04/20scrapy爬虫实例
• 04/17webug wp
• 04/15线下赛总结
• 04/101个月学习计划
• 04/10Scrapy笔记
• 04/01rnpnet tiki-calendar.php页面存在代码执行漏洞
• 03/28cookie与session的笔记
• 03/23VehicleWorkshop上传漏洞本地复现
• 03/16Redtiger题目
• 03/15会员日Pwnhub题目的复现
• 01/13Flask_SSTI



缺失模块。
1、请确保node版本大于6.2
2、在博客根目录（注意不是archer根目录）执行以下命令：
npm i hexo-generator-json-content --save
3、在根目录_config.yml里添加配置：

jsonContent:
  meta: false
  pages: false
  posts:
    title: true
    date: true
    path: true
    text: false
    raw: false
    content: false
    slug: false
    updated: false
    comments: false
    link: false
    permalink: false
    excerpt: false
    categories: true
    tags: true

CTF writeup 规划 学习计划 渗透测试 浏览器安全 java安全 漏洞分析 备忘录 代码审计 write-up 学习笔记 Linux Arbitrary-File-Upload CVE-Request sql注入 http协议 内网渗透 Empire git php反序列化 JavaScript python scrapy php魔法 xxe 代码执行 内网 后门 线下赛 前端 域渗透

