根据CVE官方漏洞通报得知wordpress新出一个组合式rce漏洞，漏洞编号分别为CVE-2019-8943和CVE-2019-8942，下载漏洞版本源码，分析漏洞触发过程，注：漏洞复现时一定要断网搭建，wordpress在联网状态时会自动更新代码包。找到漏洞发生文件 post.php，wordpress有多个post.php文件，这里简要说明一下各自的作用，wp-includes/post.php为post的源文件，wp-admin/includes/post.php为有后台权限的post接口，wp-admin/post.php为后台post的请求处理，具体调用代码如下：

wp-admin/post.php：require_once( dirname( __FILE__ ) . '/admin.php' );
wp-admin/admin.php：require_once(ABSPATH . 'wp-admin/includes/admin.php');
wp-admin/includes/admin.php：require_once(ABSPATH . 'wp-admin/includes/post.php');
wp-admin/admin.php:：require_once(dirname(dirname(__FILE__)) . '/wp-load.php');
wp-load.php：require_once( dirname( ABSPATH ) . '/wp-config.php' );
wp-config.php：require_once(ABSPATH . 'wp-settings.php');
wp-settings.php：require( ABSPATH . WPINC . '/post.php' );
define( 'WPINC', 'wp-includes' );

根据以上调用流程，漏洞利用流程为上传一个图片到媒体库，然后进行更新操作，调用wp-admin/post.php函数，并根据switch到case:editpost，如下图所示：

其中edit_post为漏洞函数，进入函数声明，如下图所示：

$post_data为post数组，并未作任何过滤防护，对此产生了之后的漏洞，对比修复后的代码，如下图所示：

在此我多说两句，因一开始并未发现wordpress在联网时会进行自动更新，所以，我定位了另一个类似漏洞点，如下图所示：

以上代码会根据传入的meta数组进行update_meta，根据代码中的$key（数据库中的meta_id），$value[‘key’]（数据库中的meta_key）,$value[‘value’]（数据库中的meta_value），构造meta[1][key]=_wp_attached_file&meta[1][value]=123，最终执行类似以下数据库语句UPDATE `wp_postmeta` SET `meta_key` = '_wp_attached_file', `meta_value` = '123' WHERE `meta_id` = 2，实现过程，如下图所示：

根据meta_id更新wp_postmeta表中内容，最终执行do_action函数，如下图所示 ：

但是由于第三个和第四个if的限制，导致无法执行成功，这也算是一个漏洞复现上的一个有趣的点吧，继续跟踪，如下图所示：

找到可利用的点，并根据代码所示，进入wp_updae_post函数，如下图所示：

此函数会经过一些获取参数的操作，将数组中的变量提取出来并进行赋值，跟踪到漏洞发生点，如下图所示：

发现返回wp_insert_attachment函数，跟踪此函数，如下图所示：

返回wp_insert_post函数，跟踪此函数，在此函数中定位到漏洞发生点，如下图所示：

所以根据以上漏洞点，可传入meta_input[_wp_attached_file] =../evil.jpg?shell.php，执行SQL语句为UPDATE `wp_postmeta` SET `meta_value` = '../evil.jpg?shell.php ' WHERE `post_id` = 8 AND `meta_key` = '_wp_attached_file'，测试条件为前提必须知道post_id，不过正常情况下更新图片时会自带此参数，如果是测试的话，可以观察数据库填写相关内容。具体SQL语句嵌套执行方法，如下图所示：

通过传入参数，赋值到相对应的表名和列名，最终执行do_action函数，如下图所示：

在此完成wordpress目录遍历漏洞，并在之后利用本地文件包含漏洞执行rce，wordpress官方使用图像库为GD和Imagick，如下图所示：

其中Imagick并不是wordpress自带，需要下载插件，所以默认可以使用绕过GD库的方法执行任意代码

参考链接：

https://blog.ripstech.com/2019/wordpress-image-remote-code-execution/

作者：二胖

欢迎来安全脉搏查看更多的干货文章和我们一起交流互动哦！

脉搏地址：安全脉搏 | 分享技术，悦享品质

微博地址:Sina Visitor System