发财树图片,WordPress-5.1.1-CSRF-To-RCE安全事情详析,奥术神座

频道:推荐新闻 日期: 浏览:277
gaymaletube 福特芬奶粉

001 概述 1.1 前语

2019 年 3 月 13 号,RIPS 又放了一个 WordPress 的 CSRF,一女多夫与此同时 WordPress 官方也提交相应的 Commit,算是一个比较新的洞。问题出在文章的谈论上,其实是有防 CSRF 相应的 wpnonce,了解 wp 的人必定不会陌香醇雁生 wpnonce,这是 wp 的防御机制,动作和postid构成的token,用来验证reference,而且 wordpress 对标签的过滤机制比较严厉的。白名单机制,列如 a 标签的名单为:

看起来是比较严厉的,根本带动作的标签不可能呈现,插不进 js。比较有发财树图片,WordPress-5.1.1-CSRF-To-RCE安全工作详析,奥术神座趣是两个对谈论的 filter 组合起来形成了,a 标签中的特点逃逸。RIPS 文章也说的比较简略,接下来看看详细的完成进程,其实存在运用条件的,RIPS 也没有指出来,总结时详细戏精训练营阐明。

1.2 布景介绍

1.2.1 缝隙描发财树图片,WordPress-5.1.1-CSRF-To-RCE安全工作详析,奥术神座述

缝隙存在于 5.1.1 之前的 WordPress 版别中,能够运用默许设置进行运用。

依据其 WordPress 官方下载页面,超越 33%的互联网网站正在运用 WordPress。文章谈论是博客的中心功用而且默许状况下已启用,该缝隙会影响数百万个网站。

1.2.2 受影响版别

WordPress <= 5.1.1

1.3 测验环境

Kali 4.19.0 WordPress 5.1.1

002 缝隙完成进程

环境最新是 5.1.1 昨天才官方刚 commit 的修正进程,算是比较新。既然是是 CSRF,表单提交点在于每篇文章的谈论处。wp-comments-post.php:25, wp_handle_comment_submission(wp_umy1069nslash( $_POST )),进入 comment_handler 函数 做了一些简略的赋值进程:炸芋球

逝世游戏潜入我国

来看看上面关于用户身份判别的过丰臀丰臀程。谈论需求用户为登录态。要害处:

其间判别用户能否不需求过滤 html,到下面的判别提交 comment 进程中的 wpnonce 验证,若是没有通过身份验证会从头界说kses处理进程的中的 filter,详细看一下 kses_init_filters

这儿为什么会从头删减 filter,在前面初始化的进程中在init标签的注册了一个 kses_init

只是判别通过用户身份 Session 身份判别了,需不要增加过滤 html 的 filterbighd。管理员用户在操作的时分,即默许是没有刺进对 pre_comme发财树图片,WordPress-5.1.1-CSRF-To-RCE安全工作详析,奥术神座nt_content 的过滤 html 的钩子,可是在判别增加谈论的时分又由于在想要的 wpnonce 验证不通过的时分顶肛,又放学后福不福2增加上了相应的 filter,官方仍是考虑到了相应的安全问题,可是为什么又要加一层身份判别,增加不同的处理函数呢,直接刺进 wp_filter_kses 不好吗?

正是由于 wp_filter_kses 和 wp_filter_post_kses 不同上形成了后边的 js 履行 他们的不同在于过滤的严厉度上,其实都相同是白名单过滤。可是跟 pre_comment_content 的钩子函数组合起来,就发送了特点逃逸。

看台州天气预报一周一下这个两个函数的界说。

传入的第二参数不同,决议了后边答应运用的标签和特点的白名单不同。影响第二个钩子函数。即便这儿 addslashes 转义了字符内容,紧接着下一个钩子涉及到对特点的处理,会康复被转义字符内容。

pre_comment_content 标签的钩子有默许的 4 个钩子 (我习气叫钩子函数),分别是 convert_invalid_entities,wp_tar农家之富有贤妻geted_link_rel,wp_rel_nofollow,balance 依据优先级排序。榜首个把 及今后的实体转成相应的合法的 unic发财树图片,WordPress-5.1.1-CSRF-To-RCE安全工作详析,奥术神座ode 实体,第二个处理 a 标签 中target特点的,第三个是重点了两个重要钩子中的第二个,给 a 标签增加 rel 特点为 nofollow,假如存在 rel 特点则在其特点值中增加 nofollow,并去掉本来的 rel 特点值,其进程会从头拼接 a 标签。

wp_rel_nofollow 钩子在 pre_com94coocment_content 中优先级为 15,当刺进 wp_filter_post_kses 钩子时运用的默许值是 10,在 w发财树图片,WordPress-5.1.1-CSRF-To-RCE安全工作详析,奥术神座p 中芙蓉镇读后感履行钩子时会有优先级判别,刚好 wp_filter_post_kses 也在前,所以也不涉及到对后边溢出的特点路虎n8从头处理。

前面说了 wp_filter_post_kses 和 wp_filter_kses 的不同在于运用的白名单不同。前者传入的是 pos发财树图片,WordPress-5.1.1-CSRF-To-RCE安全工作详析,奥术神座t,后者传入是 current_filter, 这个值很好了解,这一系列钩子都在 pre_comment_content 标签下。所以天经地义是 pre_comment_content, 挑选进程如下:

看当 post 的状况下,默许是没有注册 wp_kses_allowed_html 标签的,即每一步的 apply_filters 回来输入的榜首个值,post 的$allowedpostags 包括的标签及其特点是比较多的,pre_comment_content 只能走到默许 $allowedtags. 其间\$allowedtags 包括状况如下:

能够看到 a 标签中的只答应 href 和 title,而 post 的$allowedpostags 是答应包括 rel 特点的

在第二部重要的钩子 wp_rel_nofollow 中,其间存在 rel 特点时才会去从头拼接,形成额定的特点溢对加心出。所以这便是差异周日八点党食字路口之处,的确考虑到了XSS的履行,都是用的白名单,但通过从头拼接会呈现额定的特点。列如

可手动修正:

005 参阅衔接

https://blog.ripstech.com/2019/wordpress-csrf-to-rce/

*本文作者:alphalab,转载请注明来自FreeBuf.COM

ofo 互联网
声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间效劳。
发财树图片,WordPress-5.1.1-CSRF-To-RCE安全工作详析,奥术神座
热门
最新
推荐
标签