漏洞分析丨WordPress评论插件wpDiscuz任意文件上传

本文共 791 字，预计阅读时间 4 分钟
首发于 『先知社区』

在T00ls上看到一个老哥WordPress站点被搞了，下载了Access日志分析了一下，发现攻击路径是先访问了一个页面，然后访问 /wp-admin/admin-ajax.php?action=wmuUploadFiles 后直接就Shell落地了，确定是这个模块有问题了，后来说是wpDiscuz评论插件的漏洞，看了下官网V7.0.5修复了一次安全漏洞，于是下载了一个低版本测试一下。

官方版本更新信息

漏洞分析

完成WordPress环境搭建后，手动安装wpDiscuz插件，看到文章下增加了评论模块。

环境搭建

PHPStorm导入Web目录，点击图片按钮，上传一个PHP文件测试一下，默认是上传不了的。

尝试直接上传

从入口点分析，原来是 wp_filter 处进行了过滤。

跟踪过滤函数

跟进去，可以看到上传的功能点，再进去。

分析上传功能函数

可以看到使用了 getMimeType() 方法根据文件内容获取文件类型，并不是通过文件后缀名判断，进一步根据 $mineType 判断是否是允许的上传类型。

分析文件类型判断方式

跟入查看 isAllowedFileType() 方法，在判斷 $mineType 是否存在 $this->options->content["wmuMimeTypes"] 中。

查看文件类型判断方法

进入 $options 中，可以看到 content["wmuMimeTypes"] 使用三目运算判断，搜索上下文得知，结果就是 $defaultOptions[self::TAB_CONTENT]["wmuMimeTypes"] 。

得到文件类型白名单存储位置

进入 $defaultOptions 中可以得到最终 $this->options->content["wmuMimeTypes"] 的值是几种常见的图片类型。

默认允许上传的文件类型

很明显此时文件类型已经通过 getMimeType() 方法修改为 text/plain 了，但是回到进入 isAllowedFileType() 的代码，发现程序只在此处对上传文件进行了判断后，直接保存了文件。

分析后续流程

漏洞利用

如此，程序只是根据文件内容判断文件类型，并未对文件后缀进行校验，构造一个图片马，或者手动在Webshell前面加上图片头信息即可绕过。

我们制作一个图片马，把后门文件内容追加到图片后面。

制作图片马

上传并修改后缀名为 .php ，可以看到返回路径。

成功上传

成功连接Webshell。

连接Webshell

漏洞检测

在装上wpDiscuz插件后，每篇文章中都会带有特定的标签信息，且带有版本号，可利用此特征编写脚本或者御风插件进行检测。

插件指纹信息

喜欢您来，喜欢您再来