使用WP的 Complete Gallery Manager 插件能夠使你簡(jiǎn)單快捷地為你的網(wǎng)站建立一個(gè)相冊(cè)集

這個(gè)插件提供了很多很多好用的功能, 但如果你的用戶或是你自己不需要用到這些功能的話，請(qǐng)不要安裝太多WP的插件.這樣容易讓你的WP過(guò)于復(fù)雜，讓入侵者有可乘之機(jī)。

Complete Gallery Manager 一共有188個(gè)設(shè)置，其中有146個(gè)是使用單選框的形式，用來(lái)設(shè)置這個(gè)插件的功能。這樣會(huì)讓Complete Gallery Manager 設(shè)置起來(lái)更加安全、方便。

漏洞摘要:

一個(gè)獨(dú)立漏洞研究實(shí)驗(yàn)室的研究人員發(fā)現(xiàn)了Wordpress插件 Complete Gallery Manager 3.3.3這個(gè)任意文件上傳漏洞。

等級(jí):

高危

分析:

WordPress插件Complete Gallery Manager 3.3.3任意文件上傳漏洞允許遠(yuǎn)程的攻擊者通過(guò)HTTP的POST方式上傳文件，這個(gè)文件的擴(kuò)展名可以是任意格式的，Complete Gallery Manager這個(gè)插件中沒(méi)有嚴(yán)密的過(guò)濾代碼來(lái)限制這些未經(jīng)授權(quán)的特殊后綴名文件上傳到服務(wù)器上。

產(chǎn)生這個(gè)漏洞的文件位于/plugins/complete-gallery-manager/frames/ 路徑的upload-images.php文件上。 這個(gè)文件沒(méi)有檢查上傳文件的內(nèi)容，導(dǎo)致攻擊者可以上傳惡意文本內(nèi)容或是webshells.

在上傳文件之后，遠(yuǎn)程的攻擊者還能夠?qū)⑽募暮缶Y名，從一個(gè)格式轉(zhuǎn)換成為另一個(gè)格式。例如，你可以上傳.jpg再將它轉(zhuǎn)換成.php文件。

這個(gè)漏洞的利用，不需要與管理員發(fā)生互動(dòng)，而且不需要有管理員的權(quán)限，甚至不需要普通用戶的賬號(hào)密碼，就能完成這個(gè)攻擊。

想要成功地利用這個(gè)漏洞，只需要以上的那個(gè)文件路徑?jīng)]有被服務(wù)器所禁止，只要能訪問(wèn)到/plugins/complete-gallery-manager/frames/upload-images.php這個(gè)路徑，你就可以直接上傳任意文件啦。

漏洞應(yīng)用程序:

[+] CodeCanyon – Complete Gallery Manager

漏洞模塊:

[+] Image File Upload

漏洞文件:

[+] upload-images.php

受影響的模塊:

[+] 可影響整個(gè)WordPress系統(tǒng) (http://localhost:8000/)

測(cè)試證明

這個(gè)任意文件上傳漏洞，不需要與管理員發(fā)生互動(dòng)，而且不需要有管理員的權(quán)限，甚至不需要普通用戶的賬號(hào)密碼，就能完成這個(gè)攻擊。

Google 語(yǔ)句:

allinurl:/wp-content/plugins/complete-gallery-manager/

漏洞頁(yè)面(自己架設(shè)):

http://wordpress.localhost:8080/wordpress/wp-content/plugins/complete-gallery-manager/frames/upload-images.php

Exploit :

上傳的shell地址 :

http://wordpress.localhost:8080/wp-content/2013/10/up.php