*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。
0×01 前言
WordPress “Simple Social Buttons”插件是一个流行的免费和付费插件,可以在侧边栏,内嵌,帖子内容的上方和下方等位置添加社交媒体共享按钮,像下图这样,根据插件供应商WPBrigade所述,该插件在WordPress插件库有超过500,000次下载,有超过40,000多个活动安装。该插件在2月11号曝出严重漏洞,影响广泛。
0×02 影响范围及利用条件
影响范围:该漏洞影响Simple Social Buttons v2.0.4到v2.0.22之间的所有版本。
利用条件:wordpress网站普通用户权限。
0×03 漏洞描述
该插件由于缺少权限检查,导致WordPress允许非管理员用户执行管理员操作,比如以订阅者用户身份修改wp_options 表数据,熟悉wordpress的人应该都知道wp_options表包含了许多应用配置信息,比如admin_email、siteurl、home等。
0×04 详细利用方式
根据以上漏洞描述,以普通用户权限可以修改wp_options表中的admin_email字段。以下是在本地环境下的复现过程:
1.首先搭建好wordpress环境,建立两个账户,其中一个为管理员账户admin,一个为普通用户A。
2.然后以admin用户登录,安装Simple Social Buttons插件,wordpress官方插件库已经发布安全更新,这里通过下载安装,使用2.0.18版本,Simple Social Buttons v2.0.18下载地址,在wordpress\wp-content\plugins\目录下解压即可:
3.刷新wordpress后台页面,即可看到Simple Social Buttons v2.0.18已经安装好:
4.然后访问Simple Social Buttons插件配置页面,这里主要是用来设置分享按钮的样式、位置等。该插件提供了直接import/export配置的功能,可以直接导入一段json进行配置,漏洞就发生在import功能处:
5.这里因为不知道json配置文件的具体格式一直报invalid,我们可以先export再import,导入我们的ssb-export-2019-2-13.json文件:
然后通过抓包,我们可以拿到这个import请求,如下:
该请求包含了import的json数据,使用admin的cookie。
6.这里的漏洞利用就是基于这个请求,替换cookie为普通用户A的cookie,更改要import的json数据为{“admin_email”: “[email protected]”},得到poc如下:
7.发送请求,便成功地以用户A的身份更改wp_options表中的admin_email字段:
0×05 总结&修复
该漏洞利用POST /wordpress/wordpress/wp-admin/admin-ajax.php请求,以任意普通用户身份即可执行管理员操作,危害较大。
修复方式:更新Simple Social Buttons插件至v2.0.22即可,官方当晚就发布了安全更新。
*本文作者:帕克飞走了,转载请注明来自FreeBuf.COM
来源:freebuf.com 2019-02-25 06:00:11 by: 帕克飞走了
请登录后发表评论
注册