WordPress File-manager 任意文件上传漏洞复现 – 作者:龙渊实验室LongYuanLab

一、漏洞介绍

软件及漏洞介绍：

wordpress File Manager插件 是最强悍和便利的WordPress文件管理插件，可以直接在WordPress后台管理你网站的所有文件，可以完全替代FTP，甚至功能要比FTP还要丰富，可以在线上传、下载、压缩、解压、查看、编辑文件等。WordPress插件WPFileManager中存在一个严重的0day安全漏洞，攻击者可以在安装了此插件的任何WordPress网站上任意上传文件并远程执行代码。

漏洞成因：

由于没有任何的访问限制，导致库文件lib/php/connector.minimal.php可以被直接访问。这个文件调用了并初始化了elFinder类，导致任意用户可以直接调用elFinder类中的文件等操作命令，包括文件上传等，可以造成任意代码执行。

漏洞原理：

当去访问connector.minimal.php时它会去创建一个elFinder连接器该连接器会去执行内部的exec方法去创建我们指定的文件，而且最重要的是我们可以无权限去访问到connector.minimal.php所以我们可以利用抓包工具来构造一个请求让框架帮我们创建一个我们指定的后门文件。

受影响版本：

File Manager 6.0-6.8

二、环境搭建

1、安装wordpress

2、File manager插件安装

3、插件安装成功

三、漏洞复现

1、首先访问导致该项漏洞函数地址，返回特征显示存在该漏洞。

2、使用漏洞利用程序对地址进行测试，可执行当前用户命令。

3、由于该漏洞主要表现为外界可以无权限限制去访问FileManger插件下的connector.minimal.php文件；所以该漏洞不是word press框架造成的而是由它的file Manager插件造成的，漏洞点位于file Manager的connector.minimal.php文件，具体wordpress/wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php。

我们现在对connector.minimal.php这个文件的主要代码逻辑进行分析，看看它是如何帮助我们实现任意文件上传的。如下图在connector.minimal.php的最后实例化了一个elFinder连接器在执行run()方法。

4、跟进elFiderConnector中的run()方法如下图1第一个红框把接收到的数据都存储到$src中；再把cmd参数的数据赋值给$cmd;(其实cmd中的参数就是指定要去调用的方法名)；同时我们可以通过commandExists中的commands[$cmd]知道该$cmd方法需要那些参数。

5、接着往下看如下图commandArgsList()方法可以获取到$cmd对应的命令参数列表；最后带上需要执行的方法名($cmd)和该方法所需要的参数($args)去调用elFinder连接器的exec()方法进行文件上传操作。

原文链接

来源：freebuf.com 2020-10-23 10:32:25 by: 龙渊实验室LongYuanLab