频道栏目
首页 > 安全 > 网站安全 > 正文

技术层面小议WP-Slimstat插件高危漏洞

2015-03-02 09:08:00           
收藏   我要投稿

 在FreeBuf前几天的 《 流行WordPress流量统计插件Slimstat存在高危漏洞,影响全球130万网站 》 报道中,小编已将WP-Slimstat插件的该安全漏洞的各中危害详细述说。那么现在我们再来看看这个漏洞的技术分析吧。

攻击流程

近日我们发现了一个攻击者可以利用的安全漏洞。通过破解该插件十分脆弱的密钥,再加以SQL注入可对目标站点进行一系列的攻击。

WP-Slimstat插件包含一个简单可猜测的密钥,这个密钥被WP-Slimstat用来标记网站的访问者。只要该密钥被攻破,攻击者可以通过SQL注入(盲注)攻击目标网站以获取敏感的数据库信息,包括用户名、密码(hash)以及至关重要的wordpress安全密钥。

技术细节

WP-Slimstat使用密钥来对客户端信息进行传递。通过观察是生成的原理,我们发现攻击者相对十分容易猜测到其原始值。

\

WP-Slimstat密钥仅仅是该插件安装时的时间戳(MD5hash版本号),而诸如Internet Archive这种“网站时光机”可以帮助攻击者更轻松地猜出插件安装的时间。攻击者只需要进行3千万次的猜解测试,而对于目前市面上的CPU来说,这种量级的暴力破解只需要10分钟。

\

这部分看起来可能有点复杂,那么我们先来看看这个插件数据结构,在下图中我们可以看到这个数据签名,hashing连接的字符串包括了我们的payload以及密钥令牌

\

利用这些信息,攻击者便可以利用bruteforce对时间戳进行破解,直到从该网站主页上得到相同的签名。好了,现在也是该进入下一个阶段了:利用这个BUG执行SQL注入攻击。

我们发现我们可以向 unserialize() [这可能形成一个对象注入漏洞,这取决与该站上是否存在其他插件]插入任意数据,接着使用  $content_info变量 传递给 maybe_insert_row()函数

\

快速浏览一下这个函数关联数组的处理方法,让我们看到了进行SQL盲注的希望。

\

 

鉴于,我们可以控制 $_data函数 ,我们可以让其包含一个含有SQL语句的关联数组(比如 array(“1=sleep(100)–“=>”1″)  )这样攻击者就执行任意查询语句,获取他们所想得到的东西了。

上一篇:易车商城某处SQL注入
下一篇:wordprss安全优化:禁止使用 admin 用户名登录
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站