漏洞分析 | WordPress Backup Migration远程代码执行漏洞(CVE-2023-6553)

本文主要是介绍漏洞分析 | WordPress Backup Migration远程代码执行漏洞(CVE-2023-6553),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

漏洞概述

WordPress Backup Migration Plugin 是一个功能强大的WordPress插件,提供了一系列易于使用的工具和功能,简化WordPress网站的备份和迁移过程。近日,网宿演武安全实验室发现,在Backup Migration 小于1.3.8版本中存在远程代码执行漏洞,该漏洞在CVSS3.1中评分9.8,危险等级为危急,能够允许恶意攻击者在目标网站上远程执行命令,也可以获得后门访问,然后完全控制网站。

该漏洞利用条件简单,影响范围甚广,建议广大企事业单位检查该插件版本并修复相关漏洞,或引入Web防护方案,阻止针对该漏洞的利用行为。

受影响版本

Backup Migration <= 1.3.7

漏洞分析

该漏洞是存在于插件文件/includes/backup-heart.php中,定位到该文件,打上断点,在/wp-content/plugins/backup-backup/includes/backup-heart.php路径下发送数据进行动态调试。服务器收到数据后,发现请求头的数据存在了变量$fields中。

继续往下走,发现$fields中字段值定义成了常量,这里主要关注BMI_ROOT_DIR和BMI_INCLUDES常量,BMI_ROOT_DIR的值是由请求头中content-dir的值决定,BMI_INCLUDES的值是由BMI_ROOT_DIR拼接“includes”而成。

接着往下走,发现BMI_INCLUDES被用来和“bypasser.php”拼接,并且通过require_once函数进行文件包含。由此可见require_once的参数可控,属于典型的文件包含漏洞。

继续思考如何进一步利用文件包含达到代码执行的目的。

  • 文件包含到代码执行

在一些编码中会存在固定的前缀作为该编码的字符的开始,如下是一些编码所带的编码预置字符。例如在韩语字符编码(ISO-2022-KR)中,其编码的消息必须以序列"\x1b$)C"开头

Encoding identifierPrepended characters
ISO2022KR\x1b$)C
UTF16\xff\xfe
UTF32\xff\xfe\x00\x00

全世界有近7000种语言,为了能够全世界的人在互联网上进行信息交互,就必须得使用到不同的的可打印字符。我们都熟悉基本的 ASCII 编码表,但这个表十分有限,无法表达日语,甚至无法包含希腊语中的"λ"、"ν"、"π"等字符。因此,为了能够显示其他语言的字符,甚至是表情符号“☺”,人们创建了许多不同的编码表。这些编码表可以将字符从一种语言转换为另一种语言,但在转换过程中会受到编码长度和前置字符等因素的影响,甚至可能生成新的字符。

在主机上,我们可以通过iconv -l 来查看支持的编码转换表

这些转换表可以通过php://convert.iconv.*.*过滤器进行使用,例如convert.iconv.CP861.UTF-16 的意思就是把文件的字符编码从 CP861 转换为 UTF-16。以下代码为例,通过对字符串“START”进行’CP861’、’UTF16’、‘L4’、‘GB13000‘编码转换,最终能插入一个新字符’B‘于字符串前。

那么在编码转换中产生的垃圾字符如何处理呢,在PHP中base64解码有一个特性,其解码只认‘0-9‘、’a-z‘、’A-Z‘、 ‘/’、’+’64个字符和填充字符 ’=‘,如果要解码的字符串包含其他的字符,PHP会直接忽视这些字符,将剩下的可认字符拼接起来进行解码。如下:

可见在解码时候参杂在字符串中 ’@&>>_’ 直接被忽略了,我们在编码转换的过程中产生的垃圾字符就可以使用base64这样宽松解析的方式进行消除。需要注意的是,如果在这些垃圾字符中产生了 ‘=‘ 这个会影响convert.base64-decode过滤器解码的字符,可以通过UTF7编码方式,将 ‘=’号转换成其他符号,而不影响convert.base64-decode过滤器解码。

通过以上方式,我们可以产生任意的base64字符,再对生成的base64字符进行base64解码后可以得到任意的原始字符。最后将构造原始payload和php://filter/{filter}/resource=php://temp方式拼接(指定resource=php://temp后,其后可拼接任意的 .php文件保证路径的有效),将payload写入文件,最终通过require_once引用实现文件包含到代码执行。

在github中有作者编写了一个可以快速使用php://convert.iconv.*.*过滤器生成相应base64字符的编码转换工具。。

通过此脚本生成的payload作为请求头content-dir的值发送请求。

可见在编码转换后生成的恶意代码成功写入并被引用包含,完成了从文件包含到代码执行。

漏洞复现

采用wordpress6.4.3+ Backup Migration Plugin 1.3.6本地搭建。使用php_filter_chain工具针对<?php `date > out.txt`; ?>命令生成payload代码。(https://github.com/synacktiv/php_filter_chain_generator/blob/main/php_filter_chain_generator.py)

复制结果作为请求头中content-dir的值于http://localhost/wordpress/wp-content/plugins/backup-backup/includes/backup-heart.php路径下发送数据包。

访问http://localhost/wordpress/wp-content/plugins/backup-backup/includes/out.txt,可见系统命令date的执行结果已经写入了out.txt文件中。

修复方案

最新Backup Migration Plugin版本已对该问题进行修复,及时使用最新版本的Backup Migration插件。

产品支持

网宿WAAP全站防护-云WAF模块已第一时间支持对该漏洞利用攻击的防护,并持续挖掘分析其他变种攻击方式和各类组件漏洞,第一时间上线防护规则,缩短防护“空窗期”。

这篇关于漏洞分析 | WordPress Backup Migration远程代码执行漏洞(CVE-2023-6553)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/935621

相关文章

Android实现两台手机屏幕共享和远程控制功能

《Android实现两台手机屏幕共享和远程控制功能》在远程协助、在线教学、技术支持等多种场景下,实时获得另一部移动设备的屏幕画面,并对其进行操作,具有极高的应用价值,本项目旨在实现两台Android手... 目录一、项目概述二、相关知识2.1 MediaProjection API2.2 Socket 网络

Java程序进程起来了但是不打印日志的原因分析

《Java程序进程起来了但是不打印日志的原因分析》:本文主要介绍Java程序进程起来了但是不打印日志的原因分析,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Java程序进程起来了但是不打印日志的原因1、日志配置问题2、日志文件权限问题3、日志文件路径问题4、程序

Java字符串操作技巧之语法、示例与应用场景分析

《Java字符串操作技巧之语法、示例与应用场景分析》在Java算法题和日常开发中,字符串处理是必备的核心技能,本文全面梳理Java中字符串的常用操作语法,结合代码示例、应用场景和避坑指南,可快速掌握字... 目录引言1. 基础操作1.1 创建字符串1.2 获取长度1.3 访问字符2. 字符串处理2.1 子字

Python 迭代器和生成器概念及场景分析

《Python迭代器和生成器概念及场景分析》yield是Python中实现惰性计算和协程的核心工具,结合send()、throw()、close()等方法,能够构建高效、灵活的数据流和控制流模型,这... 目录迭代器的介绍自定义迭代器省略的迭代器生产器的介绍yield的普通用法yield的高级用法yidle

C++ Sort函数使用场景分析

《C++Sort函数使用场景分析》sort函数是algorithm库下的一个函数,sort函数是不稳定的,即大小相同的元素在排序后相对顺序可能发生改变,如果某些场景需要保持相同元素间的相对顺序,可使... 目录C++ Sort函数详解一、sort函数调用的两种方式二、sort函数使用场景三、sort函数排序

kotlin中const 和val的区别及使用场景分析

《kotlin中const和val的区别及使用场景分析》在Kotlin中,const和val都是用来声明常量的,但它们的使用场景和功能有所不同,下面给大家介绍kotlin中const和val的区别,... 目录kotlin中const 和val的区别1. val:2. const:二 代码示例1 Java

Ubuntu中远程连接Mysql数据库的详细图文教程

《Ubuntu中远程连接Mysql数据库的详细图文教程》Ubuntu是一个以桌面应用为主的Linux发行版操作系统,这篇文章主要为大家详细介绍了Ubuntu中远程连接Mysql数据库的详细图文教程,有... 目录1、版本2、检查有没有mysql2.1 查询是否安装了Mysql包2.2 查看Mysql版本2.

Go标准库常见错误分析和解决办法

《Go标准库常见错误分析和解决办法》Go语言的标准库为开发者提供了丰富且高效的工具,涵盖了从网络编程到文件操作等各个方面,然而,标准库虽好,使用不当却可能适得其反,正所谓工欲善其事,必先利其器,本文将... 目录1. 使用了错误的time.Duration2. time.After导致的内存泄漏3. jsO

Spring事务中@Transactional注解不生效的原因分析与解决

《Spring事务中@Transactional注解不生效的原因分析与解决》在Spring框架中,@Transactional注解是管理数据库事务的核心方式,本文将深入分析事务自调用的底层原理,解释为... 目录1. 引言2. 事务自调用问题重现2.1 示例代码2.2 问题现象3. 为什么事务自调用会失效3

找不到Anaconda prompt终端的原因分析及解决方案

《找不到Anacondaprompt终端的原因分析及解决方案》因为anaconda还没有初始化,在安装anaconda的过程中,有一行是否要添加anaconda到菜单目录中,由于没有勾选,导致没有菜... 目录问题原因问http://www.chinasem.cn题解决安装了 Anaconda 却找不到 An