WordPress File-manager任意⽂件上传

080

# 简介

WordPress插件WPFileManager中存在一个严重的0day安全漏洞,攻击者可以在安装了此插件的任何WordPress网站上任意上传文件并远程执行代码。

# **影响版本**

“`
File Manager 6.0-6.8
“`

# **环境搭建**

WordPress下载地址

“`
https://cn.wordpress.org/wordpress-5.4.1-zh_CN.tar.gz
“`

插件下载地址

“`
http://plugins.svn.wordpress.org/wp-file-manager/tags/6.0/
“`

登录后台把插件压缩包上传插件并启动

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012192447564.png)

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012192454585.png)

# **漏洞复现**

访问http://192.168.56.1/wordpress/wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php页面可以发现errUnknownCmd

疑似漏洞

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012192537466.png)

Poc地址:https://github.com/xDro1d/wp-file-manager

可以发现命令成功执行

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012192713542.png)

# **漏洞分析**

直接从elFinderConnector构造方法后的run开始

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012192722733.png)

然后\wordpress\wp-content\plugins\wp-file-manager\lib\php\elFinderConnector.class.php文本中

初始化

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012192737993.png)

然后run

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012192748368.png)

首先判断是否是POST方法传入数据,接着合并数组至$src

$maxInuptVars = null,而$src是存在的

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012192755367.png)

此时$_REQUEST中,cmd为upload,target为l1_Lw==

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012192802421.png)

没有targets参数,第一个if语句不执行

第二个if语句判断json_encode方法是否可用,后面看flFinder->loaded方法,这里返回true,跳过

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012192810378.png)

Cmd存在值,跳过

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012192818867.png)

此处的$cmd为upload

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012192833630.png)

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012192837274.png)

来到foreach语句

commandArgsList方法跟进

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012192844791.png)

整理得

“`
‘upload’ => array(‘target’ => true, ‘FILES’ => true, ‘mimes’ => false, ‘html’ => false, ‘upload’ => false, ‘name’ => false, ‘upload_path’ => false, ‘chunk’ => false, ‘cid’ => false, ‘node’ => false, ‘renames’ => false, ‘hashes’ => false, ‘suffix’ => false, ‘mtime’ => false, ‘overwrite’ => false, ‘contentSaveId’ => false
“`

$list第一键值不是FILES,所以跳过第一个if语句,而第一个target又存在于$src数组中

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012192904915.png)

将target的值给了$arg,再用trim函数清空白字符

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012192916477.png)

$args中debug是存在的,所以debug的值被设置为false

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012192925177.png)

接着就是elFinderConnector的input_filter方法

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012192931470.png)

因为这里的php版本大于5.4所以$magic_quotes_gpc的值为false,$args是数组,然后都进行过滤一遍

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012192938540.png)

再之后对将上传文件的信息给了$args数组中的FILES元素,接着执行elFinder对象的exec函数

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012192947740.png)

再之后对将上传文件的信息给了$args数组中的FILES元素,接着执行elFinder对象的exec函数

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012192957357.png)

在exec函数中判断完session以及是否可以进行上传操作之后继续判断

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012193006146.png)

将l1_Lw== 作为参数传递给volume函数

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/2020101219302266.png)

此时volumes中有两个键,到此处可以发现POC中上传文件的target元素的值只能以l1或者t1开头

这里传入的$hash为l1_Lw==

$result为空

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012203811532.png)

$args[‘sessionCloseEarlier’]被设置为true等等

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012203822471.png)

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012203827300.png)

跟进$cmd进入到upload方法

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012203842881.png)

接着获取到文件的临时文件名,$paths获取到文件路径为$target的值

接着$files,$header等一系列变量对文件上传的设置进行初始化或者得到上传文件的具体信息

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012203850106.png)

post提交cmd的值,调用upload方法,upload方法从上传文件中提取信息

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012203902962.png)

$files的error为0,使用第一个if语句直接忽略

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012203912219.png)

接着看changeDst被设置为false,因为第一个if循环中的值都存在,所以将$changeDst设置为true,之后进入foreach循环

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012203924651.png)’

此时的$_target已经有$target的值了

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012203933128.png)

继续跟进

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012203945688.png)

来到commandDisabled函数判断是否允许上传功能

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012203953719.png)

有上传功能,继续调用dir方法,将$hash(target)的值传入,再跟进file方法

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012204001549.png)

file函数中有一个decode方法,跟进

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012204010167.png)

这里把我们的l1_Lw==进行了解码,decode函数首先判断$hash是以l1_开头,还是以t1_开头,接着对l1_之后的部分进行base64解码

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012204017499.png)

紧接着返回我们的file方法

file方法又返回给dir方法

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012204025633.png)

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012204029767.png)

跟进到mimetype获取上传文件的上传类型

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012204038160.png)

![img](/static/baige/01-CMS漏洞/Wordpress/Wordpress File-manager任意⽂件上传/20201012204041330.png)

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
漏洞库
喜欢就支持一下吧
点赞0赞赏 分享
棉花糖的头像-棉花糖会员站糖心会员
会员必看手册(1.8.8版本 25.12.12更新)-棉花糖会员站
会员必看手册(1.8.8版本 25.12.12更新)
会员必看手册(1.8.8版本 25.12.12更新)
2025年12月1日 3.8W+
mingdon 明动 burp插件0.2.6版本 本地时间校验去除版-棉花糖会员站
mingdon 明动 burp插件0.2.6版本 本地时间校验去除版
mingdon 明动 burp插件0.2.6版本 本地时间校验去除版
2025年7月3日 1.5W+
独家!超强代码审计工具上线!免费会员等你来嫖!-棉花糖会员站
独家!超强代码审计工具上线!免费会员等你来嫖!
独家!超强代码审计工具上线!免费会员等你来嫖!
2024年12月17日 8569
2025 hw 有poc的漏洞集合-棉花糖会员站
2025 hw 有poc的漏洞集合
2025 hw 有poc的漏洞集合
2025年7月31日 6332
技术文章投稿兑换会员规则-棉花糖会员站
技术文章投稿兑换会员规则
技术文章投稿兑换会员规则
2024年3月25日 4559
王老师src真正的完整版(49个学生分享视频版本)-棉花糖会员站
王老师src真正的完整版(49个学生分享视频版本)
王老师src真正的完整版(49个学生分享视频版本)
2024年6月8日 3754
相关推荐
2025 hw 有poc的漏洞集合-棉花糖会员站
2025 hw 有poc的漏洞集合
2025 hw 有poc的漏洞集合
2025年7月31日 6332
金蝶EAS autoLogin.jsp远程代码执行-棉花糖会员站
金蝶EAS autoLogin.jsp远程代码执行
金蝶EAS autoLogin.jsp远程代码执行
2025年7月4日 2433
百度网盘Windows客户端存在远程命令执行-棉花糖会员站
百度网盘Windows客户端存在远程命令执行
百度网盘Windows客户端存在远程命令执行
2025年9月4日 2300
大华 evo-runs/v1.0/receive RCE-棉花糖会员站
大华 evo-runs/v1.0/receive RCE
大华 evo-runs/v1.0/receive RCE
2025年7月11日 1992
wps 远程代码执行 rce-棉花糖会员站
wps 远程代码执行 rce
wps 远程代码执行 rce
2025年7月18日 1834
爱数AnyShare智能内容管理平台 start_service 存在远程命令执行-棉花糖会员站
爱数AnyShare智能内容管理平台 start_service 存在远程命令执行
爱数AnyShare智能内容管理平台 start_service 存在远程命令执行
2025年7月4日 1705
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容

作者
用户封面
棉花糖的头像-棉花糖会员站糖心会员
FineReport 帆软报表前台远程代码执行
紫光电子档案管理系统存在目录遍历
英赛特互联网客户服务平台shrz.asp 存在 SQL注入
英赛特互联网客户服务平台jctxx.asp jcid 存在 SQL注入
漏洞扫描和修复培训.pptx
东胜物流软件 GetAuthorityRange 存在SQL注入
最近一周热门文章

1offsec WEB-300 课程:高级 Web 攻击和利用

棉花糖的头像-棉花糖会员站糖心会员2025年12月21日
糖心会员会员专属727

2FineReport 帆软报表前台远程代码执行

棉花糖的头像-棉花糖会员站糖心会员2025年12月24日
9999701

3金和OA AjaxForDepartmentCollect.ashx SQL注入

棉花糖的头像-棉花糖会员站糖心会员2025年12月20日
9999685

4友加畅捷管理系统 RepFile.ashx 存在文件上传致RCE

棉花糖的头像-棉花糖会员站糖心会员2025年12月18日
9999678

5东胜物流软件 GetAuthorityRange 存在SQL注入

棉花糖的头像-棉花糖会员站糖心会员2025年12月22日
9999673

6用友NC pkevalset SQL注入

棉花糖的头像-棉花糖会员站糖心会员2025年12月19日
9999668
标签云
龙浏览器未引用的服务路径特权升级齿轮地理位置查询鼠标鼠标按钮命令注入远程鼠标远程代码执行鼠标远程代码鼠标路径遍历鼠标本地文件包含鼠标未引用的服务路径鼠标事件状态栏鼠标默认错误页面跨站点脚本默认配置远程代码执行默认管理员凭据默认的调制解调器上的密码硬件远程默认权限默认权利默认弱密码编码默认密码默认安全性硬件远程默认和弱加密