得知互动

标题: 技术层面小议WP-Slimstat插件高危漏洞 [打印本页]

作者: uhxidjjr 时间: 2015-4-1 17:04
标题: 技术层面小议WP-Slimstat插件高危漏洞
近日我们发现了一个攻击者可以利用的安全漏洞。通过破解该插件十分脆弱的密钥，再加以SQL注入可对目标站点进行一系列的攻击。
WP-Slimstat插件包含一个简单可猜测的密钥，这个密钥被WP-Slimstat用来标记网站的访问者。只要该密钥被攻破，攻击者可以通过SQL注入（盲注）攻击目标网站以获取敏感的数据库信息，包括用户名、密码（hash）以及至关重要的wordpress安全密钥。
背景：

Wordpress插件存在漏洞超100万网站遭攻击

技术细节
WP-Slimstat使用密钥来对客户端信息进行传递。通过观察是生成的原理，我们发现攻击者相对十分容易猜测到其原始值。
(, 下载次数: 5)
WP-Slimstat密钥仅仅是该插件安装时的时间戳（MD5hash版本号），而诸如Internet Archive这种“网站时光机”可以帮助攻击者更轻松地猜出插件安装的时间。攻击者只需要进行3千万次的猜解测试，而对于目前市面上的CPU来说，这种量级的暴力破解只需要10分钟。
(, 下载次数: 12)
这部分看起来可能有点复杂，那么我们先来看看这个插件数据结构，在下图中我们可以看到这个数据签名，hashing连接的字符串包括了我们的payload以及密钥令牌
(, 下载次数: 9)
利用这些信息，攻击者便可以利用bruteforce对时间戳进行破解，直到从该网站主页上得到相同的签名。好了，现在也是该进入下一个阶段了：利用这个BUG执行SQL注入攻击。
我们发现我们可以向unserialize()[这可能形成一个对象注入漏洞，这取决与该站上是否存在其他插件]插入任意数据，接着使用 $content_info变量传递给maybe_insert_row()函数
(, 下载次数: 15)
快速浏览一下这个函数关联数组的处理方法，让我们看到了进行SQL盲注的希望。
(, 下载次数: 15)
鉴于，我们可以控制$_data函数，我们可以让其包含一个含有SQL语句的关联数组（比如array(“1=sleep(100)–“=>”1″) ）这样攻击者就执行任意查询语句，获取他们所想得到的东西了。
注：相关网站建设技巧阅读请移步到建站教程频道。

作者: 匿名 时间: 2015-4-2 19:40
嘿嘿...没事我才不骂人呢...

作者: 匿名 时间: 2015-4-2 19:49
唉!猪!你怎么了?

作者: 匿名 时间: 2015-4-2 19:56
感觉楼主说的很不错，我也很赞同

作者: 匿名 时间: 2015-4-2 20:03
要相信自己~智商为0

作者: 匿名 时间: 2015-4-2 20:05
说嘛1~~~想说什么就说什么嘛~~

作者: alapScady 时间: 2015-10-20 21:44
只是本着“看贴（虽然看不懂）回贴，利人利己的中华民族优秀传统美德”，顺便赚点积分。

作者: effoggikeftor 时间: 2015-10-20 21:44
经过你的指点我还是没找到在哪 ~~~

作者: mwxny 时间: 2015-10-20 21:44
呵呵　那是啊～～

作者: wwdu926a 时间: 2015-10-20 21:45
怎么这么跟别人不一样类~

作者: wwdu926a 时间: 2015-10-20 21:45
这个得知互动技术交流论坛很不错

作者: alapScady 时间: 2017-4-11 11:33
怎么这么跟别人不一样类~

作者: wwzcdenleclv 时间: 2017-4-11 11:35
呵呵哪天得看看 `~~~~

作者: seazvyt 时间: 2017-4-11 11:36
嘿...反了反了,,,,

作者: wwzcdenleclv 时间: 2017-4-11 11:38
哈哈~~~相比现在没人在了吧哈哈~~~~

作者: Acropozelan 时间: 2017-4-11 11:40
朕要午休了..............

作者: tohme 时间: 2017-4-11 15:35
终于看完了~~~

作者: mwxny 时间: 2017-4-11 15:42
哈哈瞧你说的~~~

作者: buingeEvineus 时间: 2017-4-11 15:43
真的好久都没有这么笑了~ 好开心哦

欢迎光临得知互动 (https://bbs.dezhifl.com/)