Pau*_*ulG 14 php security wordpress
最近披露了一个影响WordPress 2.8.3的漏洞,并允许管理员用户通过更改密码锁定其帐户.
这篇关于完全披露的帖子详细介绍了该漏洞,并包含相关的代码片段.该帖子提到"您可以滥用密码重置功能,并绕过第一步,然后通过向$ key变量提交数组来重置管理员密码."
我会对熟悉PHP的人更感兴趣地解释这个bug.
那些受影响的人应该更新到新的2.8.4版本,这显然可以修复这个漏洞.
wp-login.php:
...[snip]....
line 186:
function reset_password($key) {
global $wpdb;
$key = preg_replace('/[^a-z0-9]/i', '', $key);
if ( empty( $key ) )
return new WP_Error('invalid_key', __('Invalid key'));
$user = $wpdb->get_row($wpdb->prepare("SELECT * FROM $wpdb->users WHERE
user_activation_key = %s", $key));
if ( empty( $user ) )
return new WP_Error('invalid_key', __('Invalid key'));
...[snip]....
line 276:
$action = isset($_REQUEST['action']) ? $_REQUEST['action'] : 'login';
$errors = new WP_Error();
if ( isset($_GET['key']) )
$action = 'resetpass';
// validate action so as to default to the login screen
if ( !in_array($action, array('logout', 'lostpassword', 'retrievepassword',
'resetpass', 'rp', 'register', 'login')) && false ===
has_filter('login_form_' . $action) )
$action = 'login';
...[snip]....
line 370:
break;
case 'resetpass' :
case 'rp' :
$errors = reset_password($_GET['key']);
if ( ! is_wp_error($errors) ) {
wp_redirect('wp-login.php?checkemail=newpass');
exit();
}
wp_redirect('wp-login.php?action=lostpassword&error=invalidkey');
exit();
break;
...[snip ]...
Tom*_*ter 17
所以$ key是查询字符串中的一个数组,带有一个空字符串['']
http://DOMAIN_NAME.TLD/wp-login.php?action=rp&key[]=
使用数组调用reset_password,然后调用preg_replace:
//$key = ['']
$key = preg_replace('/[^a-z0-9]/i', '', $key);
//$key = [''] still
因为preg_replace接受字符串或字符串数组.它正则表达式替换任何内容并返回相同的数组.$ key不为空(它是一个空字符串数组)所以发生这种情况:
$user = $wpdb->get_row($wpdb->prepare("SELECT * FROM $wpdb->users
WHERE user_activation_key = %s", $key));
现在从这里开始,我需要阅读wordpress源码,了解准备行为的方式......
更多:
所以准备调用vsprintf,它产生一个空字符串
$a = array('');
$b = array($a);
vsprintf("%s", $b);
//Does not produce anything
所以SQL是:
SELECT*FROM $ wpdb-> users WHERE user_activation_key =''
哪个显然匹配管理员用户(以及没有使用activation_keys的所有用户).
就是这样.