看懂了revision和漏洞原因WordPress批量添加栏目,利用应该很简单:
对写入文章的revision进行评论
编辑评论状态为注入攻击语句
WordPress批量上传内容将revision丢入垃圾箱
WordPress批量添加产品还原最开始的文章(revision的原版)
看似没有什么问题,不知道各位还记不记得我们上文说的_wpnonce。对!就是这个坑!作者通篇没有提到这个漏洞要怎么获取_wpnonce!这最直接的导致我们第1、2、4步没有办法玩了o(╯□╰)o。
我猜测作者没有提及这个问题,要么是他自己也没找到,这篇文章其实只是个标题党,要么是他藏了一手。从作者前后漏洞关联的那么紧密来看WordPress批量添加栏目,我比较倾向于后一种原因,所以这里要幽怨的瞪他一眼~~
小结
作者利用读取数据库中存储内容没有进行过滤的盲点进行二次注入的思路比较直接,但是利用revision编辑垃圾箱中文章这个点真心赞。
在分析过程中发现revision的编辑并非向作者所说的可以改成trash之外的任意类型,文章状态大概有publish、future、private、inherit、auto-draft、attachment、draft、pedding、trash这几种WordPress批量助手,而我们所能修改的文章类型只能是inherit、pedding和draft这三种。否则,如果我可以修改文章状态为private,从前台完成利用第1,2步操作.
断断续续的跟了这个漏洞一周的时间了,最大的感受就是作者真心是个坑o(╯□╰)o
0x03 总结
跟这个漏洞体会最深的就是Wordpress的token机制在防护csrf的同时,也协助防御了其他类型的攻击,一个很好的机制。
GP操作的逻辑是Web代码的一个问题,尤其是在做一些权限校验时候,很容易出现Wordpress这样的GP交叉导致的逻辑混乱问题。
二次注入应该算是一个老生常谈的问题了,过于信任已记录的数据,最终会导致忘记这条记录其实是用户写入的。
文章地址:https://www.tianxianmao.com/article/wordpress/ldlydzzssdyn.html
