wordpress SQL注入漏洞利用以及提权拿管理员



              wordpress漏洞越来越多,就在前段日子又被曝出高危的sql注入漏洞,可以利用该漏洞,

进行提权猜解网站的管理员密码,受影响的版本范围较广,低于
wordpress 4.8.2的以下的版本都

含有该sql注入漏洞。该漏洞一出,很多安全从业
者对其进行了详细的安全检测与分析,针对该漏

洞的分析与利用,我们来看一下。
 
 
该sql注入漏洞的利用是有条件的,首先要有wordpress的一个编辑权限,还需要一个最重要的条

件,就是需要将poc里的相关ID值能写入到mysql数据库里去,但是自
定义的ID值,需要单独添加

才能写到数据库,下面我们来介绍该如何添加自定义的
字段ID,并写入到数据库中去。Sine安全

公司是一家专注于:服务器安全、网站安
、网站安全检测、网站漏洞修复,渗透测试,安全服务

于一体的网络安全服务提供
商。
 
 
POST发送数据,截取到META是文章的自定义栏目,打个比方来说一篇文章有标题也有时间,

也有关键词,也有描述文,跟网站优化里的特征差不多,标题,关键字,
描述。 点击添加文

章,然后会看到最下方有个自定义的栏目,自定义栏目以
meta_key 为数据,保存到数据库的

wp_postmeta表中去。

 
 
我们来看下漏洞的利用:
 
出现漏洞的文件存在于:wp-includes/class-wp-xmlrpc-server.phP我们来看下官方给出的漏洞

补丁代码,可以看出对传入进来的参数以及内容进行的
安全过滤,同时也过滤了从POC提交

过来的ID值,我们为什么提到自定义栏目这个
ID值,因为他过滤的是系统默认的ID值,自定


义的栏目ID并没有限制。我们看下代
码如下图:
 
根据代码我们可以看出POST的数据中,META值是从custom_fields表段中获取的,然后再对其

函数里的值进行安全检测,但是从自定义栏目里取出的数据是不经过任
何的安全过滤与限制,

直接写入到数据库中去,这样我们就可以构造特殊的sql注
入语句进行安全渗透了。Sine安全公

司是一家专注于:服务器安全、网站安全、网
站安全检测、网站漏洞修复,渗透测试,安全服务于

一体的网络安全服务提供商。

 
具体的操作如下:添加自定义栏目的字段,通过POST抓包将thumbnail_id字段替换为%00_thum

bnail_id,并访问后台管理页面/wp-admin/edit.php?
action=delete&_wpnonce=xxx&ids=55

%1$%s or sleep(10)#,即可执行wordpress 
SQL注入漏洞,关于漏洞的修复,请尽快升级

wordpress到最新版本。
分享: