wordpress插件wpdiscuz任意文件上传漏洞分析

下载链接

https://downloads.wordpress.org/plugin/wpdiscuz.7.0.3.zip

测试

环境

  • windows phpstudy
  • phpstorm

解压插件wp-content/plugins目录下

登录管理员启用插件,这时文章下面评论区

wordpress插件wpdiscuz任意文件上传漏洞分析 速买网 第1张

上传带GIF头的php文件

wordpress插件wpdiscuz任意文件上传漏洞分析 速买网 第2张

可以看到上传成功,图片地址也在回显中

http://127.0.0.1/wordpress/wp-content/uploads/2020/08/1-1598075857.9448.php

wordpress插件wpdiscuz任意文件上传漏洞分析 速买网 第3张

分析

wp-setting.php 将wp_ajax_nopriv_wmuUploadFiles写入了$wp_filter

foreach ( wp_get_active_and_valid_plugins() as $plugin ) { wp_register_plugin_realpath( $plugin ); include_once $plugin; /** * Fires once a single activated plugin has loaded. * * @since 5.1.0 * * @param string $plugin Full path to the plugin's main file. */ do_action( 'plugin_loaded', $plugin );}

通过表单action参数插件加载
wordpress插件wpdiscuz任意文件上传漏洞分析 速买网 第4张

$action = ( isset( $_REQUEST['action'] ) ) ? $_REQUEST['action'] : '';

wordpress先加载插件

wordpress插件wpdiscuz任意文件上传漏洞分析 速买网 第5张

入口文件

wordpress插件wpdiscuz任意文件上传漏洞分析 速买网 第6张

上传的关键代码在wp-content\plugins\wpdiscuz\utils\class.WpdiscuzHelperUpload.php376行

public function uploadFiles() {……require_once(ABSPATH . "wp-admin/includes/image.php");foreach ($files as $file) {$error = false;$extension = pathinfo($file["name"], PATHINFO_EXTENSION); //$extension="php"$mimeType = $this->getMimeType($file, $extension);

检测文件mime类型

private function getMimeType($file, $extension) { $mimeType = ""; if (function_exists("mime_content_type")) { $mimeType = mime_content_type($file["tmp_name"]); //image/gif } elseif (function_exists("finfo_open") && function_exists("finfo_file")) { $finfo = finfo_open(FILEINFO_MIME_TYPE); $mimeType = finfo_file($finfo, $file["tmp_name"]); } elseif ($extension) { $matches = wp_check_filetype($file["name"], $this->options->content["wmuMimeTypes"]); $mimeType = empty($matches["type"]) ? "" : $matches["type"]; } return $mimeType;}

继续跟进

……if ($this->isAllowedFileType($mimeType)) { if (empty($extension)) { //$extension="php" 没进入 …… } $file["type"] = $mimeType;} else { ……}do_action("wpdiscuz_mu_preupload", $file); //没什么用if (!$error) { $attachmentData = $this->uploadSingleFile($file);

isAllowedFileType

private function isAllowedFileType($mimeType) { $isAllowed = false; if (!empty($this->options->content["wmuMimeTypes"]) && is_array($this->options->content["wmuMimeTypes"])) { $isAllowed = in_array($mimeType, $this->options->content["wmuMimeTypes"]); } return $isAllowed;}

$this->options->content[“wmuMimeTypes”] 内容

wordpress插件wpdiscuz任意文件上传漏洞分析 速买网 第7张

在数组内

$isAllowed=true

上传操作在

340行 $attachmentData = $this->uploadSingleFile($file);

uploadSingleFile

private function uploadSingleFile($file) {$currentTime = WpdiscuzHelper::getMicrotime();$attachmentData = [];$path = $this->wpUploadsPath . "/";$fName = $file["name"];$pathInfo = pathinfo($fName);$realFileName = $pathInfo["filename"];$ext = empty($pathInfo["extension"]) ? "" : strtolower($pathInfo["extension"]);$sanitizedName = sanitize_file_name($realFileName); $cleanFileName = $sanitizedName . "-" . $currentTime . "." . $ext;$cleanRealFileName = $sanitizedName . "." . $ext;$fileName = $path . $cleanFileName;if (in_array($ext, ["jpeg", "jpg"])) {$this->imageFixOrientation($file["tmp_name"]);}$success = apply_filters("wpdiscuz_mu_compress_image", false, $file["tmp_name"], $fileName, $q = 60);if ($success || @move_uploaded_file($file["tmp_name"], $fileName)) {

到这里已经把文件上传了
上传文件名为原文件名+时间戳+后缀

v7.0.5的改进

isAllowedFileType 对mime的后缀和文件后缀进行比较

private function isAllowedFileType($mimeType, $extension) { $isAllowed = false; if (!empty($this->mimeTypes) && is_array($this->mimeTypes)) { foreach ($this->mimeTypes as $ext => $mimes) { if ($ext === $extension) { if ($isAllowed = in_array($mimeType, explode("|", $mimes))) { break; } } } } return $isAllowed;}

总结

整个上传过程只对文件头进行检测,并没有对文件后缀进行检测,导致可以设置一句话木马内容为

图片文件头+php代码

,进行getshell

所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!
文章链接:https://www.soomai.com/7807.html
文章标题:wordpress插件wpdiscuz任意文件上传漏洞分析
如有疑问:请点击这里联系我

人已赞赏
速买网

某微盘源码审计

2020-9-15 15:36:15

速买网

宝塔面板安装mysql 8.0提示最低内存和最低CPU限制的三种解决方法

2020-9-16 17:07:10

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索