Un bug interesante en Wordpress

<?php

header('Content-type: text/plain; charset=utf-8;');

if ( empty($_POST['title']) ) {
	die('Parámetros no válidos');
}

// Conexión a la base de datos test
mysql_connect('localhost', 'root', '1234');
mysql_select_db('test');

// Escapar los valores
$title = mysql_real_escape_string($_POST['title']);

// Hacer la conversión si se envía el parámetro charset
if ( !empty($_POST['charset']) ) {
	// Verificar si la extensión mb_string está habilitada
	if ( function_exists('mb_convert_string') ) {
		$title = @mb_convert_encoding($title, 'UTF-8', $_POST['charset']);
	}
	// Verificar si la extensión iconv está habilitada
	elseif ( function_exists('iconv') ) {
		$title = @iconv($_POST['charset'], 'UTF-8', $title);
	}	
}

$sql = "SELECT * FROM wp_posts WHERE post_title = '$title'";

if ( $result = mysql_query($sql) ) {
	while ($row = mysql_fetch_assoc($result)) {
		print_r($row);
	}
	
	mysql_free_result($result);
}

/*
	Muestra el error intencionalmente
*/
if ( $error = mysql_error() ) {
	echo "MySQL: $error\nConsulta: $sql";
}

mysql_close();
?>

Entradas relacionadas

• Cuidado con la codificación de los datos
• Primeras imágenes del nuevo diseño del panel de administración de WordPress 2.4
• WordPress 2.0.10 y 2.1.3
• Beta1 de WordPress 2.3.1
• Wordpress, XSS y CSRF - Parte 1
• Wordpress bug hunt
• Seguridad en Wordpress
• Exploit para versiones de Wordpress menores a 2.0.5
• Plugin rel=nofollow para WordPress
• WordPress 2.2.3

menéame añadir a del.icio.us digg it

Comentarios | Escribe el tuyo →

1. 1

   stefano
   12 de Enero de 2007, 12:48:45 pm

   “creo” que el error por $_POST[’title’]

   cuando se realiza la consulta sql

   $title = $_POST[’title’]
   $sql = “SELECT * FROM wp_posts WHERE post_title = ‘$title’”;

   podriamos agregar mas cosas a la consulta sql, realmente nose si se puede hacer eso voy a googlear un poco y ahi vere

2. 2

   alex
   12 de Enero de 2007, 12:59:40 pm

   Si miras el código, se aplica la funcion mysql_real_escape_string sobre el valor de $_POST['title'], así que el error no vá por ahí

3. 3

   stefano
   12 de Enero de 2007, 04:58:50 pm

   ouch

4. 4

   alex
   12 de Enero de 2007, 05:32:02 pm

   je je, en realidad el error es más simple de lo que parece, sólo basta observar un pequeño detalle.

5. 5

   jdeveloper
   13 de Enero de 2007, 08:38:32 am

   ¿y para que imprimes la consulta si hay error? ah no ser que lo uses solo en un server de pruebas, que supongo que no es la intencion del ejercicio.

6. 6

   alex
   13 de Enero de 2007, 08:46:49 am

   jdeveloper, se imprime la consulta para facilitar el trabajo de los que se tomen la molestia de probar ese código.

7. 7

   agustí
   14 de Enero de 2007, 07:24:20 am

   No acabo de ver como, pero esta claro que title es modificado despues de mysql_real_escape_string() en caso de existir un charset.
   Así una \’ podría modificar la \ por algun conjunto de caracteres y dejar el ‘ con que la injectsql seria posible.

8. 8

   alex
   14 de Enero de 2007, 09:01:55 am

   En efecto agusti, ese es el problema que presenta el código mostrado.

   La documentación de PHP dice lo siguiente sobre mysql_real_escape_string:

   Escapa todos los caracteres especiales en la cadena_no_escapada, tomando en cuenta el juego de caracteres actual de la conexión, de tal modo que sea seguro usarla con mysql_query()

   Como mencionabas, sólo habría que usar un charset en el que ' sea expresado en otra secuencia de caracteres, así se inutiliza completamente el uso de mysql_real_escape_string.

9. 9

   agustí
   14 de Enero de 2007, 11:33:54 am

   Es (más) fácil ver un bug cuando te dicen que hay uno… de todas maneras y como norma escapar cadenas siempre es interesante hacerlo lo ultimo.

10. 10

    agustí
    15 de Enero de 2007, 02:28:19 am

    Encontrado: +ACc- UTF-7

11. 11

    alex
    15 de Enero de 2007, 07:43:53 am

    Exacto

Deja un comentario