近日我们发现了一个攻击者可以利用的安全漏洞。通过破解该插件十分脆弱的密钥,再加以SQL注入可对目标站点进行一系列的攻击。
* z& Q! e/ E- D6 s: YWP-Slimstat插件包含一个简单可猜测的密钥,这个密钥被WP-Slimstat用来标记网站的访问者。只要该密钥被攻破,攻击者可以通过SQL注入(盲注)攻击目标网站以获取敏感的数据库信息,包括用户名、密码(hash)以及至关重要的wordpress安全密钥。( p$ z; S( q; M+ N6 z) P: |
背景:
; z& @3 ^8 V! p, q: h! t# A
B! U# A _7 ~, ~
4 A9 {3 V, r) g0 i" y, m7 ?0 Z技术细节
1 s$ Y X- I% ~, `3 f- o. uWP-Slimstat使用密钥来对客户端信息进行传递。通过观察是生成的原理,我们发现攻击者相对十分容易猜测到其原始值。
2 }& Y! I9 S- T; h
Sucuri-WP-Slimstat-secret1.png
5 f( n! D1 l- l' [7 A; UWP-Slimstat密钥仅仅是该插件安装时的时间戳(MD5hash版本号),而诸如Internet Archive这种“网站时光机”可以帮助攻击者更轻松地猜出插件安装的时间。攻击者只需要进行3千万次的猜解测试,而对于目前市面上的CPU来说,这种量级的暴力破解只需要10分钟。4 Y- s& `% Z5 D3 T0 ~$ N3 \2 I
Sucuri-WP-Slimstat-StatsParam.png
; {0 _1 g; ~; M9 G" w
这部分看起来可能有点复杂,那么我们先来看看这个插件数据结构,在下图中我们可以看到这个数据签名,hashing连接的字符串包括了我们的payload以及密钥令牌
3 f B8 d- j0 S! j+ T; R4 {4 Z8 V
Sucuri-WP-Slimstat-Signing.png
; R/ `! x) W$ l( u y9 a
利用这些信息,攻击者便可以利用bruteforce对时间戳进行破解,直到从该网站主页上得到相同的签名。好了,现在也是该进入下一个阶段了:利用这个BUG执行SQL注入攻击。
* Q; l2 D5 z# r# Y+ k. u! y我们发现我们可以向unserialize()[这可能形成一个对象注入漏洞,这取决与该站上是否存在其他插件]插入任意数据,接着使用 $content_info变量传递给maybe_insert_row()函数
* n7 }5 z/ S3 [( W7 ^) q: U3 N
Sucuri-WP-Slimstat-InsertRow.png
1 ]1 Q. U+ I% r( L N3 w4 a# L
快速浏览一下这个函数关联数组的处理方法,让我们看到了进行SQL盲注的希望。
1 o Q3 ^0 C( }: H
Sucuri-WP-Slimstat-SQLi.png
~ m/ Z7 c5 [7 P% e4 V$ \鉴于,我们可以控制$_data函数,我们可以让其包含一个含有SQL语句的关联数组(比如array(“1=sleep(100)–“=>”1″) )这样攻击者就执行任意查询语句,获取他们所想得到的东西了。7 y7 x5 L7 v, w6 t& x0 n/ x
注:相关网站建设技巧阅读请移步到建站教程频道。 |
拥抱AI搜索新时代!GEO优化成为企业流量增505网络资讯
GEO优化如何让企业流量翻倍?404网络资讯
GEO优化,企业抢占流量高地的制胜法宝404网络资讯
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
悔悟卡
匿名卡