漏洞分析 | WordPress Backup Migration远程代码执行漏洞(CVE-2023-6553)

本文主要是介绍漏洞分析 | WordPress Backup Migration远程代码执行漏洞(CVE-2023-6553),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

漏洞概述

WordPress Backup Migration Plugin 是一个功能强大的WordPress插件,提供了一系列易于使用的工具和功能,简化WordPress网站的备份和迁移过程。近日,网宿演武安全实验室发现,在Backup Migration 小于1.3.8版本中存在远程代码执行漏洞,该漏洞在CVSS3.1中评分9.8,危险等级为危急,能够允许恶意攻击者在目标网站上远程执行命令,也可以获得后门访问,然后完全控制网站。

该漏洞利用条件简单,影响范围甚广,建议广大企事业单位检查该插件版本并修复相关漏洞,或引入Web防护方案,阻止针对该漏洞的利用行为。

受影响版本

Backup Migration <= 1.3.7

漏洞分析

该漏洞是存在于插件文件/includes/backup-heart.php中,定位到该文件,打上断点,在/wp-content/plugins/backup-backup/includes/backup-heart.php路径下发送数据进行动态调试。服务器收到数据后,发现请求头的数据存在了变量$fields中。

继续往下走,发现$fields中字段值定义成了常量,这里主要关注BMI_ROOT_DIR和BMI_INCLUDES常量,BMI_ROOT_DIR的值是由请求头中content-dir的值决定,BMI_INCLUDES的值是由BMI_ROOT_DIR拼接“includes”而成。

接着往下走,发现BMI_INCLUDES被用来和“bypasser.php”拼接,并且通过require_once函数进行文件包含。由此可见require_once的参数可控,属于典型的文件包含漏洞。

继续思考如何进一步利用文件包含达到代码执行的目的。

  • 文件包含到代码执行

在一些编码中会存在固定的前缀作为该编码的字符的开始,如下是一些编码所带的编码预置字符。例如在韩语字符编码(ISO-2022-KR)中,其编码的消息必须以序列"\x1b$)C"开头

Encoding identifierPrepended characters
ISO2022KR\x1b$)C
UTF16\xff\xfe
UTF32\xff\xfe\x00\x00

全世界有近7000种语言,为了能够全世界的人在互联网上进行信息交互,就必须得使用到不同的的可打印字符。我们都熟悉基本的 ASCII 编码表,但这个表十分有限,无法表达日语,甚至无法包含希腊语中的"λ"、"ν"、"π"等字符。因此,为了能够显示其他语言的字符,甚至是表情符号“☺”,人们创建了许多不同的编码表。这些编码表可以将字符从一种语言转换为另一种语言,但在转换过程中会受到编码长度和前置字符等因素的影响,甚至可能生成新的字符。

在主机上,我们可以通过iconv -l 来查看支持的编码转换表

这些转换表可以通过php://convert.iconv.*.*过滤器进行使用,例如convert.iconv.CP861.UTF-16 的意思就是把文件的字符编码从 CP861 转换为 UTF-16。以下代码为例,通过对字符串“START”进行’CP861’、’UTF16’、‘L4’、‘GB13000‘编码转换,最终能插入一个新字符’B‘于字符串前。

那么在编码转换中产生的垃圾字符如何处理呢,在PHP中base64解码有一个特性,其解码只认‘0-9‘、’a-z‘、’A-Z‘、 ‘/’、’+’64个字符和填充字符 ’=‘,如果要解码的字符串包含其他的字符,PHP会直接忽视这些字符,将剩下的可认字符拼接起来进行解码。如下:

可见在解码时候参杂在字符串中 ’@&>>_’ 直接被忽略了,我们在编码转换的过程中产生的垃圾字符就可以使用base64这样宽松解析的方式进行消除。需要注意的是,如果在这些垃圾字符中产生了 ‘=‘ 这个会影响convert.base64-decode过滤器解码的字符,可以通过UTF7编码方式,将 ‘=’号转换成其他符号,而不影响convert.base64-decode过滤器解码。

通过以上方式,我们可以产生任意的base64字符,再对生成的base64字符进行base64解码后可以得到任意的原始字符。最后将构造原始payload和php://filter/{filter}/resource=php://temp方式拼接(指定resource=php://temp后,其后可拼接任意的 .php文件保证路径的有效),将payload写入文件,最终通过require_once引用实现文件包含到代码执行。

在github中有作者编写了一个可以快速使用php://convert.iconv.*.*过滤器生成相应base64字符的编码转换工具。。

通过此脚本生成的payload作为请求头content-dir的值发送请求。

可见在编码转换后生成的恶意代码成功写入并被引用包含,完成了从文件包含到代码执行。

漏洞复现

采用wordpress6.4.3+ Backup Migration Plugin 1.3.6本地搭建。使用php_filter_chain工具针对<?php `date > out.txt`; ?>命令生成payload代码。(https://github.com/synacktiv/php_filter_chain_generator/blob/main/php_filter_chain_generator.py)

复制结果作为请求头中content-dir的值于http://localhost/wordpress/wp-content/plugins/backup-backup/includes/backup-heart.php路径下发送数据包。

访问http://localhost/wordpress/wp-content/plugins/backup-backup/includes/out.txt,可见系统命令date的执行结果已经写入了out.txt文件中。

修复方案

最新Backup Migration Plugin版本已对该问题进行修复,及时使用最新版本的Backup Migration插件。

产品支持

网宿WAAP全站防护-云WAF模块已第一时间支持对该漏洞利用攻击的防护,并持续挖掘分析其他变种攻击方式和各类组件漏洞,第一时间上线防护规则,缩短防护“空窗期”。

这篇关于漏洞分析 | WordPress Backup Migration远程代码执行漏洞(CVE-2023-6553)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/935621

相关文章

性能分析之MySQL索引实战案例

文章目录 一、前言二、准备三、MySQL索引优化四、MySQL 索引知识回顾五、总结 一、前言 在上一讲性能工具之 JProfiler 简单登录案例分析实战中已经发现SQL没有建立索引问题,本文将一起从代码层去分析为什么没有建立索引? 开源ERP项目地址:https://gitee.com/jishenghua/JSH_ERP 二、准备 打开IDEA找到登录请求资源路径位置

SWAP作物生长模型安装教程、数据制备、敏感性分析、气候变化影响、R模型敏感性分析与贝叶斯优化、Fortran源代码分析、气候数据降尺度与变化影响分析

查看原文>>>全流程SWAP农业模型数据制备、敏感性分析及气候变化影响实践技术应用 SWAP模型是由荷兰瓦赫宁根大学开发的先进农作物模型,它综合考虑了土壤-水分-大气以及植被间的相互作用;是一种描述作物生长过程的一种机理性作物生长模型。它不但运用Richard方程,使其能够精确的模拟土壤中水分的运动,而且耦合了WOFOST作物模型使作物的生长描述更为科学。 本文让更多的科研人员和农业工作者

MOLE 2.5 分析分子通道和孔隙

软件介绍 生物大分子通道和孔隙在生物学中发挥着重要作用,例如在分子识别和酶底物特异性方面。 我们介绍了一种名为 MOLE 2.5 的高级软件工具,该工具旨在分析分子通道和孔隙。 与其他可用软件工具的基准测试表明,MOLE 2.5 相比更快、更强大、功能更丰富。作为一项新功能,MOLE 2.5 可以估算已识别通道的物理化学性质。 软件下载 https://pan.quark.cn/s/57

衡石分析平台使用手册-单机安装及启动

单机安装及启动​ 本文讲述如何在单机环境下进行 HENGSHI SENSE 安装的操作过程。 在安装前请确认网络环境,如果是隔离环境,无法连接互联网时,请先按照 离线环境安装依赖的指导进行依赖包的安装,然后按照本文的指导继续操作。如果网络环境可以连接互联网,请直接按照本文的指导进行安装。 准备工作​ 请参考安装环境文档准备安装环境。 配置用户与安装目录。 在操作前请检查您是否有 sud

线性因子模型 - 独立分量分析(ICA)篇

序言 线性因子模型是数据分析与机器学习中的一类重要模型,它们通过引入潜变量( latent variables \text{latent variables} latent variables)来更好地表征数据。其中,独立分量分析( ICA \text{ICA} ICA)作为线性因子模型的一种,以其独特的视角和广泛的应用领域而备受关注。 ICA \text{ICA} ICA旨在将观察到的复杂信号

CSP 2023 提高级第一轮 CSP-S 2023初试题 完善程序第二题解析 未完

一、题目阅读 (最大值之和)给定整数序列 a0,⋯,an−1,求该序列所有非空连续子序列的最大值之和。上述参数满足 1≤n≤105 和 1≤ai≤108。 一个序列的非空连续子序列可以用两个下标 ll 和 rr(其中0≤l≤r<n0≤l≤r<n)表示,对应的序列为 al,al+1,⋯,ar​。两个非空连续子序列不同,当且仅当下标不同。 例如,当原序列为 [1,2,1,2] 时,要计算子序列 [

【软考】希尔排序算法分析

目录 1. c代码2. 运行截图3. 运行解析 1. c代码 #include <stdio.h>#include <stdlib.h> void shellSort(int data[], int n){// 划分的数组,例如8个数则为[4, 2, 1]int *delta;int k;// i控制delta的轮次int i;// 临时变量,换值int temp;in

三相直流无刷电机(BLDC)控制算法实现:BLDC有感启动算法思路分析

一枚从事路径规划算法、运动控制算法、BLDC/FOC电机控制算法、工控、物联网工程师,爱吃土豆。如有需要技术交流或者需要方案帮助、需求:以下为联系方式—V 方案1:通过霍尔传感器IO中断触发换相 1.1 整体执行思路 霍尔传感器U、V、W三相通过IO+EXIT中断的方式进行霍尔传感器数据的读取。将IO口配置为上升沿+下降沿中断触发的方式。当霍尔传感器信号发生发生信号的变化就会触发中断在中断

kubelet组件的启动流程源码分析

概述 摘要: 本文将总结kubelet的作用以及原理,在有一定基础认识的前提下,通过阅读kubelet源码,对kubelet组件的启动流程进行分析。 正文 kubelet的作用 这里对kubelet的作用做一个简单总结。 节点管理 节点的注册 节点状态更新 容器管理(pod生命周期管理) 监听apiserver的容器事件 容器的创建、删除(CRI) 容器的网络的创建与删除

PostgreSQL核心功能特性与使用领域及场景分析

PostgreSQL有什么优点? 开源和免费 PostgreSQL是一个开源的数据库管理系统,可以免费使用和修改。这降低了企业的成本,并为开发者提供了一个活跃的社区和丰富的资源。 高度兼容 PostgreSQL支持多种操作系统(如Linux、Windows、macOS等)和编程语言(如C、C++、Java、Python、Ruby等),并提供了多种接口(如JDBC、ODBC、ADO.NET等