Adm1n's Blog

Old soldiers never die, they just fade away.



评论里垃圾评论实在太多.. 就全删了.. 友情链接的站基本都访问不了了..
都忘了还有这个博客. 准备准备写些文章吧:)


这几天wordpress的那个反序列漏洞比较火,具体漏洞我就不做分析了,看这篇吧http://drops.wooyun.org/papers/596,你也可以去看英文的原文http://vagosec.org/2013/09/wordpress-php-object-injection/
wp官网打了补丁,我试图去bypass补丁,但让我自以为成功的时候,发现我天真了,并没有成功绕过wp的补丁,但却发现了unserialize的一个小特性,在此和大家分享一下。

1.unserialize()函数相关源码:


if ((YYLIMIT - YYCURSOR) < 7) YYFILL(7);
        yych = *YYCURSOR;
        switch (yych) {
        case 'C':
        case 'O':        goto yy13;
        case 'N':        goto yy5;
        case 'R':        goto yy2;
        case 'S':        goto yy10;
        case 'a':        goto yy11;
        case 'b':        goto yy6;
        case 'd':        goto yy8;
        case 'i':        goto yy7;
        case 'o':        goto yy12;
        case 'r':        goto yy4;
        case 's':        goto yy9;
        case '}':        goto yy14;
        default:        goto yy16;
        }
上边这段代码是判断序列串的处理方式,如序列串O:4:"test":1:{s:1:"a";s:3:"aaa";},处理这个序列串,先获取字符串第一个字符为O,然后case 'O':  goto yy13
yy13:
        yych = *(YYMARKER = ++YYCURSOR);
        if (yych == ':') goto yy17;
        goto yy3;

Read More...


原文:
http://vagosec.org/2013/09/wordpress-php-object-injection/
直接看就可以了, 不转内容了.

主要说一下, 比较鸡肋, 但作者说: "I looked into this, and found that there exists a popular plugin which
(when enabled) elevates this vulnerability to Remote Command Execution."
恩, 是个很常用wp安装的插件? 从"(when enabled)"是可以推测这个插件默认是不开启的? 那他就是wp安装自带的默认不开启插件? 但刚刚从官网下载了一个wordpress3.6, 默认插件只有一个akismet和hello-_-..

该看一下比较主流的插件了..


两手空空, 默默遥望.


上班后看到wooyun社区发布了一个discuz  x3后台拿shell的方法,随后t00ls的会员也测试了discuz x2.5的后台拿shell方法。

好蛋疼的是我测试居然没过,抓到的数据包和给出的案例不一样!!!

经过研究发现,步骤错了。。。。

 

原帖地址内容:

http://zone.wooyun.org/content/3894

用户 – 用户栏目 – 栏目分组 – 提交 – 抓包 (我就是在这步出错的,一定要提交,不然抓到的数据包不一样)

 


Content-Disposition: form-data; name="settingnew[profilegroupnew][base][available]"

 

改为


Content-Disposition: form-data; name="settingnew[profilegroupnew][plugin][available]"

 

 

Read More...




Copyright © 2005 Adm1n All Rights Reserved .